Чому висновки низької серйозності говорять про ваш аудит більше, ніж критичні помилки Багато аудиторських фірм зосереджують свою комерційну пропозицію на кількості знайдених максимумів, ніби це число не просто шум без включення контексту: попередні аудити, експертна оцінка, рівень покриття тестами, складність коду, кількість рядків та багато інших показників. Це найнижчий показник продажності, який нічим не відрізняється від порівняння, наприклад, якості USB-накопичувачів за їх довжиною в міліметрах. Щоб показати альтернативу, ми спочатку повинні підтвердити правильність кількох підтверджуючих тверджень: - Імовірність випадкового впровадження бага не має ухилу в бік більш високих ударів (розробники не більш безрозсудні в коді з високими ставками, зазвичай навпаки). - Ті ж комплексні методології, що використовуються для виявлення недоліків різного ступеня серйозності, також виявляють проблеми високого ступеня серйозності (протилежне не має). - Існують набагато вищі вимоги до випадкової помилки, щоб кваліфікуватися як висока серйозність (часто вона закривається за недосяжними умовами або торкається некритичної функціональності). - З базової статистики: вища частота дискретизації корелює з нижчим очікуваним відхиленням/дисперсією і, отже, з більш точним вимірюванням. Визначимо аудиторський звіт як результат вибірки якості кодової бази. Зроблено висновок, що очікуване справжнє (без промахів) число максимумів набагато нижче, ніж мінімумів, а очікуване відхилення навколо нього набагато вище (через меншу вибірку). Іншими словами, кількість максимумів говорить нам дуже мало про кількість пропущених максимумів. Тому, як не дивно, звіт 1 High, 10 Lows є більш обнадійливим, ніж звіт 10 Highs, 1 Low за інших рівних умов. Хоча насправді переважна більшість продавців воліла б показувати останнє як показник якості. Справа в тому, що високочастотна метрика є кращим інструментом для вимірювання низькочастотних результатів. Розробники Web3, наступного разу, коли компанії помахають вам своїми показниками Crit/High і захищеною лінією X мільярдів доларів, ви знаєте, на чому зосередитися, щоб шукати справжній сигнал. Аудитори Web3 визнають, що не існує єдиної секретної формули для пошуку всіх максимумів без пошуку мінімумів – кожен не повністю досліджений мінімум є потенційним максимумом – і приділяйте максимальну увагу кожному окремому рядку. Ваш клієнт скаже вам за це спасибі. Низька серйозність визначається як конкретні помилки кодування, які не призводять до впливу на більш високий рівень. Не містить форматування, найкращих практик і знахідок заповнювача.

Критичний у git, випущений вчора, який може бути викликаний git клоном ненадійного репозиторію. Це вектор мрії про те, щоб померти аудитори та вкрасти їхні винагороди / гроші аудиту. Виправте свої системи, перш ніж пропонувати нових клієнтів! І очікуйте відвідувачів у свою поштову скриньку найближчими тижнями...

Виявляється, ви можете отримати винагороду в 5 фігур у змаганнях, фактично не виявляючи жодних проблем, потрібен лише напівфункціональний мозок. У березні 2024 року в конкурсі OP Fault Proofs розробники виправили критичну проблему за день до його початку, але не об'єднали її. 🔗 Просто подивившись на публічний журнал комітів, ви отримуєте високий бал 🔗 🔗 У підсумку отримав винагороду в розмірі $16680: Це лише один із багатьох трюків, щоб знайти помилки в межах видимості, не шукаючи їх. Завжди намагайтеся працювати розумно, а не старанно.

Вирішив спробувати Cantina в жовтні минулого року, через 8 місяців результати нарешті стали очевидними... Десятки одиночних висновків у 1-му аудиті Java та перевершення найкращих братів у таблиці лідерів Cantina в 3-7x – це досить непогано, не збираюся брехати. Шкода, що досвід після аудиту був настільки жахливим, що я поклявся ніколи не повертатися до цієї платформи. *обґрунтоване попередження* - 8 місяців термін дозволу, на момент написання статті - баунті все ще не відправлено. - Десятки годин, витрачених на ескалацію та захист подань від неправильних вердиктів. - Нарахував ~ 104 помилки в суддівстві (неправильні обмани, явні інваліди, неправильна серйозність), які були виправлені. Більше, ніж ні. - Втрата вартості ~$110 000 через те, що вирішення займе на 7 місяців більше часу, ніж повинно бути, а токен OP знизиться до ~50 центів. Звичайно, під час змагань у банках, що не відповідають доларам США, коливання є прийнятним ризиком. Але 8 місяців некомпетентності суддів і неможливості завершити конкурс не були частиною моєї моделі загрози. Під час суддівських днів C4 я повністю обробив 1000 висновків менш ніж за тиждень (соло), на OP-Java було 360 і кілька суддів. Не дивно, що Cantina ніколи не оголошувала в соціальних мережах результати, на відміну від 5 інших конкурсів, які завершилися цього тижня, звичайно, не могло бути так, що вони хотіли уникнути поганої преси або підкреслити домінування TrustSec, чи не так? Шкода, що нам доводиться продовжувати обговорювати зловживання платформою винагород замість критичних помилок, але немає іншого виходу, окрім як притягувати всіх до відповідальності. Невдовзі з'явиться пост про технічну розбивку соло-знахідок.

Уявіть собі світ, де твердження про те, що дослідники не повинні зловживати, є суперечливим поглядом. Ось що відбувається, коли з'являється фірма з необмеженою кількістю готівки і купує собі шлях до домінування на ринку. Звалювання на дослідників з екстрактивною політикою просто стає новою рівновагою Неша

З кожним днем для нас стає все більш очевидним, що @cantinaxyz є екстрактивною сутністю і чистим негативом для простору. Минув тиждень @jack__sanford вбивча стаття про незліченні недоліки конкурсу в Корку і жодного натяку на відповідь найближчим часом. З тією кількістю уваги, яку привернула ця стаття, якби вони могли виступити на захист, вони б точно це зробили, так зване мовчання є визнанням провини. Цього тижня наше подання винагороди Cantina, про яке вони погодилися, показує обмежену втрату коштів для оператора блокчейну з високою ймовірністю, вирішену в посередництві до низької серйозності. Прочитавши 10 звітів Spearbit/Cantina та 100 звітів про баунті, грошові втрати в будь-якій сумі ніколи не бувають нижчими за середній вплив, тому вони явно ретранслюють точку зору спонсора в класичному менталітеті «клієнт завжди правий», як вони завжди роблять. Насправді вони навіть не приховують, що це роблять. За власними документами, вони за замовчуванням дотримуються точки зору клієнта. Я думаю, що лише в найбільш кричущих випадках вони відхиляють точку зору клієнта. А що робити, якщо клієнт просто ігнорує їх медіацію? На будь-якій іншій платформі (наприклад, @immunefi), з якою ми працювали, недотримання медіації є підставою для негайного видалення клієнта. На Cantina клієнт має допуск у розмірі 5 шахрайств з баунті на рік. Так, ви правильно прочитали. Ми також нещодавно виявили, що їхня стипендіальна програма має дуже агресивне положення про ексклюзивність. Стипендіати не можуть подавати щось на інші платформи винагород або повідомляти проєкти безпосередньо, навіть якщо мільйони доларів перебувають під загрозою. Натомість, цими надзвичайно чутливими та критично важливими в часі знаннями потрібно поділитися з Кантіною, яка вирішує, як діяти далі. Вони є начальниками, вони викликають постріли, кланяються або йдуть з менталітету. У нас є більше прикладів обурливого поводження на Кантіні, але ми залишимо їх на інший день. Наразі ми хочемо підвищити обізнаність, як і інші провідні члени спільноти, що аудитори повинні голосувати ногами, коли йдеться про те, де вони проводять свій дорогоцінний час на полюванні. Платформа безпеки, яка втрачає рівновагу і віддає перевагу проектам, а не мисливцям за головами, підриває весь процес білого капелюха і заохочує дослідників заробляти свою цінність менш етичними способами! Давайте працювати як спільнота, щоб зміцнити високочесні, прозорі та позитивні організації, а не хуліганів у галузі. Наведена вище заява є особистою думкою членів директорату TrustSec і повинна тлумачитися таким чином.

- Тримайте LoC при зміні стану нижче 500 - використовувати шаблон ++counter для відображення ключів - не підтримують нативні токени - Тримайте апарат станів у відкритому режимі перегляду за допомогою переліків станів - Співвідношення тест/LoC 1:1 - форматувати кожен рядок коду за допомогою лінійки Бачите, виграти гру не так вже й складно

Як ветеран індустрії аудиторських конкурсів, я розповім, як укладаються такі угоди. > Будьте протокольними з грошима та проводьте 3+ спільних аудитів > Знайте, що кодова база, ймовірно, не має значних помилок > Хочете сигналізувати спільноті, інвесторам та іншим зацікавленим сторонам, що ви дбаєте про безпеку > Не маєте наміру витрачати більше грошей на безпеку > Платформа "Конкурс" має рішення > Влаштуйте конкурс килимів, який гарантує, що горщики High/Crit не будуть розблоковані > Зробіть горщик Med надзвичайно маленьким > Якщо Хай знайдений, то применшіть значення, інакше клієнт незадоволений (пам'ятаєте Ейлера?) > І платформа "Конкурс", і ви отримуєте безкоштовний маркетинг > SR міцні, але вам все одно > Повторіть, але зробіть наступне оголошення про конкурс килимів ще більш оптимістичним.

Попередження ⚠️ : Не новий запис про винагороду Усі ми, аудитори, любимо зосереджуватися на соковитих крихтах і зводити до мінімуму нетехнічну роботу. Кого хвилює паперова тяганина та зустрічі, коли ви щойно знайшли новий спосіб спустошити DeFi-контракт? Але все повинно бути в міру, і дуже часто ми бачимо, що незалежні дослідники абсолютно скупляться на підписання навіть базової угоди з клієнтом. Це було те, що ми також робили в перші місяці роботи TrustSec - зв'язувалися з клієнтом на TG / Discord, обговорювали команду, ціну і терміни, і просто починали. Відчувається гладко і без тертя, так в чому ж проблема? Як і в багатьох речах, він добре працює, поки це не так. Коли ви проводите 50+ аудитів на рік, ви починаєте стикатися з периферійними кейсами. І коли ви це зробите, завчасно з'ясування проблем дозволить уникнути маси тертя в потенційно чутливих моментах терміну аудиту. Розумієте, суть договору про надання послуг не в тому, що його можна оскаржити в суді за тисячі кілометрів від вашого поточного місця розташування. Звичайно, в гіршому випадку це може бути. Але в основному це робиться для того, щоб вибудувати очікування з обох сторін, щоб змусити обидві сторони говорити про деталі, які вони б інакше не зробили б. Ось лише кілька сценаріїв, які виникли, і з якими слід чітко впоратися: - Клієнт не готовий до фінального коміту до дати початку. - З непередбачених причин один або кілька аудиторів недоступні протягом частини або всього аудиторського вікна. - Кінцевий обсяг вимагає більш тривалого часу на розгляд, що збільшує витрати. - Обговорення того, який інструмент і форматування використовуються для підрахунку підсумкового SLOC. - Клієнт вводить новий функціонал для ознайомлення в аудиті виправлень. - Прохання відправити оплату тільки після доставки звіту. - Клієнт бажає скасувати аудит, попередивши про це лише за 24 години. - Клієнт бажає надіслати платіж на бажаному блокчейні. - Заперечення щодо публікації звіту після прийнятного періоду очікування. Окрім того, що угода чітко визначає, як діяти в цих сценаріях, вона також надає аудиторам критично важливий захист: - Знімає з себе будь-яку відповідальність за пропущені помилки та експлойти. - Зберігає права інтелектуальної власності на інструменти, концепції атак, розроблені під час аудиту (наскільки це дозволяє закон). - Організовує початкові внески, комісію за скасування бронювання і так далі. - Відповідає вимогам due diligence, KYB та законодавчій базі. Це актуально для вимог щодо оподаткування, дотримання вимог та джерел фінансування. З цих причин ми швидко зрозуміли, що витратити трохи додаткового часу перед тим, як забронювати речі, варто, і ми закликаємо кожного аудитора, який веде законний бізнес, зробити те саме.

Наприкінці 2024 року TrustSec виявила помилку консенсусу в @OPLabsPBC клієнті Optimism. У гіршому випадку операційний вузол матиме неправильне уявлення про стан L2, що призведе до відокремлення ланцюга від інших клієнтів. За наше дослідження OP Labs щедро нагородила нас винагородою в розмірі 7,5 тисяч доларів. Ознайомтеся з усіма подробицями в технічному огляді нижче!