重大度の低い検出結果が重大なバグよりも監査について多くを語る理由 多くの監査法人は、事前の監査、ピアレビュー、テストカバレッジレベル、コードの複雑さ、行数、その他多くの指標など、コンテキストを差し込まずにノイズにとどまらないかのように、発見されたHighの数に売り込みを集中させています。これは最も低いセールスマンシップの形態であり、たとえば、USBドライブの品質をミリメートル単位の長さで比較するのと変わりません。 代替案を示すためには、まず、いくつかの裏付けとなる主張の正しさを主張しなければならない。 - 偶発的なバグインジェクションの可能性は、より大きな影響に偏っていません(開発者はハイステークスのコードでより無謀ではなく、通常はその逆です)。 - さまざまな重大度の欠陥を発見するために使用されるのと同じ包括的な方法論は、重大度の高い問題も発見します(その逆は成り立ちません)。 - ランダムなバグが深刻度が高いと認定されるためには、はるかに高い要件があります (多くの場合、到達できない条件の背後にゲートが付けられたり、重要でない機能に触れたりします)。 - 基本的な統計から:サンプリングレートが高いほど、予想される偏差/分散が低くなり、より正確な測定が可能になります。 監査レポートは、コードベースの品質をサンプリングした結果として定義しましょう。予想される真の (ミスなし) の高値は低値よりもはるかに少なく、その周りの予想される偏差は (サンプルが小さいため) はるかに高いと推論します。言い換えれば、高値の数からは、見逃された高値の数についてほとんどわかりません。 そのため、驚くべきことに、1 の Highs, 10 の Lows レポートは、他のすべてが同じであれば 10 の Highs, 1 の Lows レポートよりも安心感があります。実際には、セールスマンの大多数は、品質の指標として後者を表示することを好みます。重要なのは、高頻度のメトリクスは、低頻度の結果を測定するためのより優れたツールであるということです。 Web3ビルダーの皆さん、次回、企業があなたに彼らのクリティカル/ハイカウントとX数十億ドルの安全なラインを振るとき、あなたは真のシグナルを探すためにどこに焦点を当てるべきかを知っています。 Web3の監査人は、すべての高値を見つけるための一貫した秘密の公式はなく、安値も探さずに - 十分に調査されていないすべての安値は潜在的な高値です - そして、すべての行に最善の注意を払います。あなたのクライアントはそれについてあなたに感謝するでしょう。 重大度が低いとは、より高いレベルの影響をもたらさない具体的なコーディングの誤りとして定義されます。書式設定、ベスト プラクティス、フィラーの調査結果は含まれません。

昨日リリースされたgitのクリティカルは、信頼できないリポジトリのgit cloneによってトリガーされる可能性があります。それが、監査人をpwnし、彼らの報奨金/監査金を盗むための夢のベクトルです。新しいクライアントを見積もる前に、システムにパッチを適用してください。そして、今後数週間のうちにあなたの受信トレイに訪問者が届くことを期待してください...

コンテストで5イチジクの懸賞金を獲得できることが判明しましたが、実際には問題を発見することなく、半機能的な頭脳が必要です。 2024年3月のOP Fault Proofsコンテストでは、開発者は重大な問題を開始前日に修正しましたが、マージしませんでした。🔗 公開コミットログを見るだけで、高いスコアを獲得できます 🔗 🔗 結局、16680ドルの報奨金になりました。 これは、実際に探さずに範囲内のバグを見つけるための多くのトリックの 1 つにすぎません。常に賢く働くようにしてください、一生懸命働くのではなく。

昨年の10月にカンティーナに挑戦することを決め、8ヶ月後、ついに結果が出てきました... 第1回Java監査で数十の単独発見があり、トップのCantinaリーダーボードブラザーズを3〜7倍上回っていることは、嘘をつくつもりはありません。 監査後の体験があまりにもひどかったので、二度とそのプラットフォームには戻らないと誓ったのは残念です。*正当な暴言の警告* - 執筆時点での解決期間は8か月です-バウンティはまだ送信されていません。 - 誤った評決から提出物をエスカレーションし、防御するために数時間を費やしました。 - 修正された104の判断ミス(間違ったデュープ、明確な無効、間違った重大度)をカウントしました。まだないものが増えています。 - 解決に必要以上に7か月長くかかり、OPトークンが~50セントに急落したため、~$110,000の価値が失われました。 確かに、USD以外のコンテストのポットで競争する場合、変動は許容されるリスクです。しかし、8ヶ月間の審査員が無能で、コンテストをまとめることができなかったことは、私の脅威モデルの一部ではありませんでした。C4の審査期間中、私は1週間以内に1000件の調査結果を完全に処理しました(ソロ)、OP-Javaには360人の審査員と複数の審査員がいました。 カンティーナが今週終了した他の5つのコンテストとは異なり、ソーシャルで結果を発表しなかったのは当然のことであり、悪評を避けたり、TrustSecの優位性を強調したりしたかったわけではないのではないでしょうか? 重大なバグではなく、報奨金プラットフォームの不正行為について議論を続けなければならないのは残念ですが、全員に責任を負わせる以外に選択肢はありません。 ソロで見つけた人びとの技術的な内訳の投稿は、まもなく公開されます。

研究者を虐待すべきではないと言うことが物議を醸す見解である世界を想像してみてください。 それは、無制限の現金を持つ企業が現れ、市場支配への道を買うときに起こることです。採掘政策を持つ研究者への投げ捨ては、単に新たなナッシュ均衡になるだけだ

日を追うごとに、@cantinaxyzが抽出的な存在であり、空間にとって正味のマイナスであることがますます明らかになります。 コークコンテストの無数の欠陥に関する@jack__sanfordのキラーピースを過ぎて、すぐに応答のヒントはありません。その記事が受けた注目の量で、彼らが確かに防御をマウントすることができれば、別名沈黙は罪の告白です。 今週、私たちのCantinaの報奨金の提出は、ブロックチェーンオペレーターの資金損失の上限が高いことを示していることに同意し、調停で低重大度に解決されました。何十ものSpearbit/Cantinaのレポートと100の報奨金の記事を読んできた結果、どんな金額でも中程度の影響を下回ることはなく、彼らはいつものように、古典的な「クライアントは常に正しい」という考え方でスポンサーの視点を明確に伝えています。 それどころか、彼らはそれを隠してさえいません。彼ら自身のドキュメントによって、彼らはクライアントの視点にデフォルトします。私が思うに、最もひどいケースでのみ、彼らはクライアントの意見を拒否するでしょう。 そして、クライアントが単に彼らの調停を無視した場合はどうなるでしょうか?私たちが協力した他のプラットフォーム(@immunefiなど)では、調停を尊重しない場合、クライアントを直ちに解任する理由となります。Cantinaでは、クライアントは年間5回の報奨金詐欺の手当があります。はい、その通りです。 また、最近、彼らのフェローシッププログラムには非常に積極的な独占条項があることもわかりました。フェローは、たとえ数百万ドルが危険にさらされていても、他のバウンティプラットフォームに何かを提出したり、プロジェクトに直接通知したりすることはできません。それどころか、この非常に敏感でタイムクリティカルな知識をカンティーナと共有し、カンティーナが進め方を決定する必要があります。彼らはボスであり、ショットをコールし、頭を下げるか、メンタリティを去ります。 カンティーナでのとんでもない取り扱いの例は他にもありますが、それらは別の日に譲ります。今のところ、私たちは、他の主要なコミュニティメンバーと同様に、監査人が貴重な時間を狩猟に費やす場所に関しては、自分の足で投票すべきであるという認識を高めたいと考えています。 バランスを崩し、賞金稼ぎよりもプロジェクトを優遇するセキュリティプラットフォームは、ホワイトハットプロセス全体を弱体化させ、研究者が倫理的でない手段で価値を稼ぐことを奨励します。コミュニティとして働き、業界のいじめっ子に対して、誠実で透明性が高く、ネットポジティブな組織を強化しましょう。 上記の記述は、TrustSecの取締役メンバーの個人的な意見であり、そのように解釈されるべきです。

- 状態変更のLoCを500未満に維持する - ++counter パターンを使用してキーをマッピングする - ネイティブトークンをサポートしない - State Enum を使用してステートマシンを開いた状態に保つ - 1:1のテスト/LoC比 - 定規ですべてのコードをフォーマットする ほら、ゲームに勝つことはそんなに難しくないよ

監査コンテスト業界のベテランとして、このような取引がどのように行われるかをお伝えします。 > お金でプロトコルを作成し、3 +共同監査を行います > コードベースにはおそらく重大なバグがないことを認識してください > コミュニティ、投資家、その他の利害関係者に対して、セキュリティに関心があることを伝えたい > セキュリティにこれ以上お金をかけるつもりはありません >「コンテスト」プラットフォームには解決策があります > ラグコンテストを設定して、ハイ/クリティカルポットがアンロックされないことを保証します > メッドポットを超小さくする > もしハイが見つけたら、そのミッションを軽視し、そうでなければクライアントは不幸です(オイラーを覚えていますか? >「コンテスト」プラットフォームと無料のマーケティングの両方を利用できます >SRは頑丈ですが、気にしません >繰り返しますが、次のラグコンテストの発表をさらに強気にします。

警告⚠️:新しい報奨金の記事ではありません 私たちオーディターは皆、ジューシーな批評に焦点を当て、技術以外の仕事を最小限に抑えたいと思っています。DeFiコントラクトを枯渇させる斬新な方法を見つけたばかりの書類作成や会議など、誰が気にするのでしょうか?しかし、すべてのことは適度に行われるべきであり、独立した研究者がクライアントとの基本的な契約に署名することさえ完全に手を抜くのをあまりにも頻繁に見かけます。 これは、TrustSecの最初の数ヶ月でも行ったことで、TG / Discordでクライアントと連絡を取り、チーム、価格、タイムラインについて話し合い、すぐに始めることができました。滑らかで摩擦がないと感じたので、何が問題なのでしょうか? 多くのことと同様に、うまく機能しないまではうまくいきます。年間50+件の監査を管理していると、エッジケースに遭遇し始めます。また、その際、事前に物事を片付けておくことで、監査タイムラインの潜在的に重要なポイントでの大きな摩擦を回避できます。 サービス契約のポイントは、現在の場所から何千マイルも離れた裁判所で訴訟を起こすことができるということではありません。確かに、最悪の場合、それはおそらく可能です。しかし、ほとんどの場合、それは双方からの期待を一致させるために行われ、そうでなければ話さない詳細について双方に話すように強制する方法です。 ここでは、明示的に処理する必要があるシナリオをいくつか紹介します。 - クライアントは、開始日より前に最終コミットの準備ができていません。 - 予期しない理由により、1 人以上の監査人が監査期間の一部または全部に対応できません。 - 最終的なスコープにはレビュー時間が長くなり、コストが増加します。 - 最終的なSLOCをカウントするためにどのツールとフォーマットを使用するかについて議論します。 - クライアントは、修正監査でレビューするための新機能を導入します。 - レポートの配達後にのみ支払いをお願いします。 - クライアントは、24時間前までに監査をキャンセルすることを希望しています。 - クライアントは、好みのブロックチェーンで支払いを行うことを希望します。 - 許容される待機期間後にレポートが公開されることに対する異議申し立て。 これらのシナリオをどのように処理するかを明確にするだけでなく、契約は監査人に重要な保護を提供します。 - 見逃したバグやエクスプロイトに対する一切の責任を放棄します。 - 監査中に開発されたツール、攻撃概念の知的財産権を維持します(法律で許可されている範囲で)。 - 頭金、キャンセル料などの手配 - デューデリジェンス要件、KYB、法的枠組みを満たしている。これは、課税、コンプライアンス、および資金源の要件に関連しています。 これらの理由から、予約を取る前に少し余分な時間を費やす価値が十分にあることがすぐにわかり、合法的なビジネスを運営するすべての監査人にも同じことを行うことをお勧めします。

2024年後半、TrustSecはOptimismクライアントでコンセンサスバグを発見し@OPLabsPBC。最悪の場合、op-nodeはL2状態を誤って表示し、他のクライアントからのチェーン分裂を引き起こします。 私たちの研究に対して、OP Labsは寛大に7.5kドルの報奨金を授与してくれました。詳細については、以下の技術記事をご覧ください。