Por que as descobertas de baixa gravidade dizem mais sobre a sua auditoria do que bugs críticos Muitas empresas de auditoria focam seu discurso de vendas no número de problemas críticos encontrados, como se esse número não fosse apenas ruído sem considerar o contexto: auditorias anteriores, revisão por pares, níveis de cobertura de testes, complexidade do código, contagem de linhas e muitas outras métricas. É a forma mais baixa de vendas, não diferente de comparar, por exemplo, a qualidade de um pen drive pelo seu comprimento em milímetros. Para mostrar uma alternativa, primeiro devemos afirmar a correção de várias alegações de apoio: - A probabilidade de injeção acidental de bugs não tem viés em relação a impactos mais altos (os desenvolvedores não são mais imprudentes em códigos de alto risco, geralmente é o oposto). - As mesmas metodologias abrangentes usadas para descobrir falhas de várias gravidades também descobririam problemas de alta gravidade (o oposto não se sustenta). - Existem requisitos muito mais altos para que um bug aleatório se qualifique como de alta gravidade (frequentemente estaria condicionado a condições inatingíveis ou afetaria funcionalidades não críticas). - A partir de estatísticas básicas: uma taxa de amostragem mais alta correlaciona-se com uma menor expectativa de desvio/variância e, portanto, uma medição mais precisa. Vamos definir um relatório de auditoria como o resultado da amostragem da qualidade de uma base de código. Deduza-se que o número verdadeiro esperado (sem omissões) de problemas críticos é muito menor do que o de problemas de baixa gravidade, e a expectativa de desvio em torno disso é muito maior (devido à amostra menor). Em outras palavras, o número de problemas críticos nos diz muito pouco sobre o número de problemas críticos não detectados. Assim, surpreendentemente, um relatório de 1 problema crítico e 10 problemas de baixa gravidade é mais tranquilizador do que um relatório de 10 problemas críticos e 1 problema de baixa gravidade, todas as outras coisas sendo iguais. Embora, na verdade, a vasta maioria dos vendedores preferiria mostrar o último como uma indicação de qualidade. O ponto é que uma métrica de alta frequência é uma ferramenta melhor para medir resultados de baixa frequência. Construtores de Web3, da próxima vez que as empresas lhe apresentarem suas contagens de Críticos/Altos e X bilhões de dólares garantidos, você sabe onde focar para buscar o verdadeiro sinal. Auditores de Web3, reconheçam que não existe uma fórmula secreta consistente para encontrar todos os problemas críticos sem também buscar os de baixa gravidade - cada problema de baixa gravidade não totalmente investigado é um potencial problema crítico - e dêem sua melhor atenção a cada linha. Seu cliente agradecerá por isso. Baixa gravidade é definida como erros de codificação concretos que não resultam em impactos de nível superior. Não inclui formatação, melhores práticas e descobertas superficiais.

Uma vulnerabilidade crítica no git foi lançada ontem, que pode ser ativada ao fazer git clone de um repositório não confiável. Esse é o vetor ideal para comprometer auditores e roubar suas recompensas / dinheiro de auditoria. Corrija os seus sistemas antes de citar novos clientes! E espere visitantes na sua caixa de entrada nas próximas semanas...

Acontece que você pode ganhar recompensas de 5 dígitos em concursos sem realmente descobrir nenhum problema, apenas um cérebro semi-funcional é necessário. No concurso de Provas de Falhas OP de março de 2024, os desenvolvedores corrigiram um problema crítico um dia antes de começar, mas não o integraram. 🔗 Apenas olhando para o log de commits público, você consegue uma alta 🔗 🔗 Acabou sendo uma recompensa de $16680: É apenas um dos muitos truques para encontrar bugs dentro do escopo sem realmente procurá-los. Sempre tente trabalhar de forma inteligente, não árdua.

Decidi experimentar a Cantina em outubro passado, 8 meses depois os resultados finalmente saíram... Dezenas de descobertas individuais na 1ª auditoria Java e superando os melhores irmãos do leaderboard da Cantina por 3-7x é uma sensação bastante boa, não vou mentir. É uma pena que a experiência pós-auditoria tenha sido tão terrível que prometi nunca mais voltar a essa plataforma. *aviso de desabafo justificado* - Tempo de resolução de 8 meses, até o momento da escrita - recompensa ainda não enviada. - Dezenas de horas gastas escalando e defendendo submissões de veredictos errados. - Contabilizei ~ 104 erros de julgamento (duplicatas erradas, inválidos claros, gravidade errada) que foram corrigidos. Mais que não foram. - Perda de valor de ~$110,000 devido à resolução ter levado 7 meses a mais do que deveria e o token OP despencando para ~50 centavos. Claro, ao competir em potes de concurso não-USD, as flutuações são um risco aceito. Mas 8 meses de juízes incompetentes e não conseguirem finalizar um concurso não fazia parte do meu modelo de ameaça. Durante os dias de julgamento do C4, eu processava totalmente 1000 descobertas em menos de uma semana (sozinho), o OP-Java teve 360 e múltiplos juízes. Não é surpresa que a Cantina nunca anunciou nas redes sociais os resultados, ao contrário de 5 outros concursos que foram concluídos esta semana, certamente não poderia ser o caso de que eles quisessem evitar uma má publicidade ou destacar a dominância da TrustSec, certo? É uma pena que tenhamos que continuar discutindo as más práticas das plataformas de recompensas em vez de bugs críticos, mas não há outra escolha a não ser manter todos responsáveis. Um post técnico sem desabafos sobre as descobertas individuais virá em breve.

Imagine um mundo onde dizer que os pesquisadores não devem ser abusados é uma opinião controversa.. É isso que acontece quando uma empresa com dinheiro ilimitado aparece e compra seu caminho para a dominância no mercado. Desprezar os pesquisadores com políticas extrativas simplesmente se torna o novo equilíbrio de Nash.

A cada dia que passa, torna-se cada vez mais claro para nós que @cantinaxyz é uma entidade extrativa e um impacto negativo para o espaço. Uma semana após o artigo impressionante de @jack__sanford sobre as inúmeras deficiências do concurso Cork e sem sinal de resposta em breve. Com a quantidade de atenção que aquele artigo recebeu, se eles pudessem montar uma defesa, certamente o fariam, ou seja, o silêncio é uma admissão de culpa. Esta semana, nossa submissão de recompensa da Cantina, que eles concordaram que mostra uma perda de fundos limitada para um operador de blockchain com alta probabilidade, foi resolvida em mediação com baixa severidade. Tendo lido dezenas de relatórios da Spearbit/Cantina e centenas de resumos de recompensas, a perda monetária de qualquer quantia nunca é abaixo de impacto médio, então eles estão claramente transmitindo a perspectiva do patrocinador com uma mentalidade clássica de "o cliente está sempre certo", como sempre fazem. Na verdade, eles nem se escondem ao fazer isso. De acordo com seus próprios documentos, eles Default para a Perspectiva do Cliente. Acho que apenas nos casos mais egregios eles rejeitam a visão do cliente. E se o cliente simplesmente ignorar a mediação? Em qualquer outra plataforma (por exemplo, @immunefi) com a qual trabalhamos, não respeitar a mediação é motivo para a remoção imediata do cliente. Na Cantina, o cliente tem uma permissão de 5 fraudes de recompensa por ano. Sim, você leu certo. Recentemente, também descobrimos que o programa de Fellowship deles tem uma cláusula de exclusividade altamente agressiva. Os Fellows não podem submeter nada a outras plataformas de recompensas, ou notificar projetos diretamente, mesmo que milhões de dólares estejam em risco. Em vez disso, esse conhecimento altamente sensível e crítico em termos de tempo deve ser compartilhado com a Cantina, que decide como proceder. Eles são os chefes, eles tomam as decisões, a mentalidade é se curvar ou sair. Temos mais exemplos de manuseio escandaloso na Cantina, mas deixaremos esses para outro dia. Por enquanto, queremos aumentar a conscientização, como outros membros da comunidade, de que os auditores devem votar com os pés quando se trata de onde gastam seu precioso tempo caçando. Uma plataforma de segurança que perde seu equilíbrio e favorece projetos em detrimento dos caçadores de recompensas mina todo o processo de white-hat e encoraja os pesquisadores a ganharem seu valor por meios menos éticos! Vamos trabalhar como uma comunidade para fortalecer organizações de alta integridade, transparentes e com impacto positivo em vez de bullies da indústria. A declaração acima é a opinião pessoal dos membros da diretoria da TrustSec e deve ser interpretada como tal.

- Mantenha o LoC que altera o estado abaixo de 500 - use o padrão ++counter para mapear chaves - não suporte tokens nativos - mantenha a máquina de estados em visão aberta através de enums de estado - proporção de 1:1 entre testes e LoC - formate cada linha de código com uma régua Veja, ganhar o jogo não é tão difícil assim

Como veterano da indústria de concursos de auditoria, vou dizer-lhe como negócios como esses são feitos. > Seja protocolo com dinheiro e faça 3+ auditorias colaborativas > Saiba que a base de código provavelmente não tem bugs significativos > Quer sinalizar para a comunidade, investidores e outras partes interessadas que você se preocupa com a segurança > Não tenciona gastar mais dinheiro em segurança > plataforma "Concurso" tem solução > Configure um concurso de tapetes garantindo que os potes High/Crit não serão desbloqueados > Faça o pote Med super pequeno > Se High encontrou, então minimizar a sumissão, caso contrário, cliente infeliz (lembra de Euler?) > plataforma "Concurso" e você recebe marketing gratuito > SRs robustas, mas você não se importa > Repita, mas torne o próximo anúncio de concurso de tapetes ainda mais otimista.

Aviso ⚠️: Não é uma nova recompensa escrita Todos nós, auditores, gostamos de nos concentrar nos suculentos crits e manter o trabalho não tecnológico ao mínimo. Quem se importa com papelada e reuniões quando você acabou de encontrar uma nova maneira de drenar um contrato DeFi? Mas todas as coisas devem ser feitas com moderação e, muitas vezes, vemos pesquisadores independentes economizando totalmente na obtenção de até mesmo um acordo básico assinado com o cliente. Isso foi algo que também fizemos nos primeiros meses da TrustSec - conecte-se com um cliente no TG / discord, discuta equipe, preço e cronograma, e apenas comece. Sentiu-se suave e sem atrito, então qual é o problema? Como acontece com muitas coisas, funciona bem até que não funciona. Quando você gerencia 50+ auditorias por ano, começa a se deparar com casos de borda. E quando isso acontece, ter as coisas limpas com antecedência evita uma tonelada de atrito em pontos potencialmente sensíveis na linha do tempo da auditoria. Veja, o ponto de um contrato de serviços não é que ele possa ser litigado em um tribunal a milhares de quilômetros de sua localização atual. Claro, na pior das hipóteses, pode ser. Mas principalmente é feito para alinhar as expectativas de ambos os lados, uma maneira de forçar dois lados a falar sobre detalhes que de outra forma não fariam. Aqui estão apenas alguns cenários que surgiram e devem ser explicitamente tratados: - O cliente não está pronto com o compromisso final antes da data de início. - Por razões imprevistas, um ou mais auditores não estão disponíveis para parte ou para toda a janela de auditoria. - O âmbito final exige um tempo de revisão mais longo, aumentando os custos. - Debater sobre qual ferramenta e formatação é usada para contar o SLOC final. - Cliente introduz nova funcionalidade para revisão na auditoria de correção. - Pedir que o pagamento seja enviado somente após a entrega do relatório. - O cliente deseja cancelar a auditoria com apenas 24 horas de antecedência. - O cliente deseja enviar o pagamento em seu blockchain preferido. - Objeções à publicação do relatório após um período de espera aceitável. Além de deixar claro como lidar com esses cenários, um contrato também fornece aos auditores proteção crítica: - Renuncia a qualquer responsabilidade por bugs perdidos e exploits. - Mantém direitos de PI sobre ferramentas, conceitos de ataque desenvolvidos durante a auditoria (na medida em que a lei permita). - Organiza adiantamentos, taxas de cancelamento e assim por diante. - Atende aos requisitos de due diligence, KYB e marco legal. Isso é relevante para os requisitos de tributação, conformidade e fonte de recursos. Por esses motivos, descobrimos rapidamente que vale a pena gastar um pouco de tempo extra antes de reservar as coisas, e incentivamos todos os auditores que administram uma empresa legítima a fazer o mesmo.

No final de 2024, a TrustSec descobriu um bug de consenso em @OPLabsPBC cliente Optimism. Na pior das hipóteses, o op-node teria uma visão errada do estado L2, causando uma divisão em cadeia de outros clientes. Por nossa pesquisa, a OP Labs generosamente nos concedeu uma recompensa de US$ 7,5 mil. Confira todos os detalhes na redação técnica abaixo!