低严重性发现比关键漏洞更能反映您的审计 许多审计公司在销售宣传中将重点放在发现的高严重性漏洞数量上，仿佛这个数字没有上下文的支持：之前的审计、同行评审、测试覆盖率、代码复杂性、行数以及许多其他指标。这是最低级的销售手法，与通过毫米长度比较USB驱动器质量没有什么不同。 为了展示一种替代方案，我们首先必须确认几个支持性论点的正确性： - 意外漏洞注入的概率对高影响没有偏见（开发者在高风险代码中并不会更加鲁莽，通常情况正好相反）。 - 用于发现各种严重性缺陷的全面方法论同样会发现高严重性问题（反之则不成立）。 - 随机漏洞要符合高严重性的要求要高得多（通常它会被限制在无法达到的条件下，或涉及非关键功能）。 - 从基本统计学来看：更高的抽样率与更低的预期偏差/方差相关，因此测量更为准确。 我们将审计报告定义为对代码库质量的抽样结果。我们推断，预期的真实（没有遗漏）高严重性漏洞数量远低于低严重性漏洞数量，而围绕它的预期偏差则要高得多（由于样本较小）。换句话说，高严重性漏洞的数量对遗漏的高严重性漏洞数量几乎没有帮助。 因此，令人惊讶的是，1个高严重性漏洞和10个低严重性漏洞的报告在其他条件相同的情况下，比10个高严重性漏洞和1个低严重性漏洞的报告更令人安心。尽管实际上绝大多数销售人员更愿意展示后者作为质量的指标。关键是，高频率指标是衡量低频率结果的更好工具。 Web3建设者，下次当公司向您展示他们的关键/高严重性漏洞数量和数十亿美元的安全资金时，您知道该关注哪里以寻找真实信号。 Web3审计员，认识到没有一致的秘密公式可以在寻找所有高严重性漏洞的同时不去寻找低严重性漏洞——每一个未完全调查的低严重性漏洞都是一个潜在的高严重性漏洞——并给予每一行最好的关注。您的客户会因此感谢您。 低严重性被定义为不会导致更高层次影响的具体编码错误。不包括格式、最佳实践和填充发现。

昨天发布了一个在 git 中的关键漏洞，可以通过克隆不受信任的仓库来触发。这是攻击审计员并窃取他们的赏金/审计资金的理想途径。在引用任何新客户之前，请修补你的系统！并期待在接下来的几周内收到访客的消息...

原来你可以在比赛中获得五位数的奖金，而实际上并不需要发现任何问题，只需要一个半功能的大脑。 在2024年3月的OP Fault Proofs比赛中，开发者在比赛开始前一天修复了一个关键问题，但并没有合并它。🔗 只需查看公共提交日志，你就能获得高额奖金 🔗 🔗 最终获得了$16680的奖金： 这只是找到范围内漏洞而不实际寻找它们的众多技巧之一。总是要努力聪明地工作，而不是辛苦工作。

去年十月决定尝试Cantina，8个月后结果终于出来了…… 在第一次Java审计中发现了数十个独立问题，并且超越了顶级Cantina排行榜的兄弟们3-7倍，感觉不错，不会撒谎。 可惜审计后的体验如此糟糕，我发誓再也不回到那个平台。*合理的抱怨警告* - 截至撰写时，解决时间为8个月 - 奖金仍未发放。 - 花费数十小时升级和为错误裁决辩护。 - 统计了约104个判断错误（错误的重复、明显无效、错误的严重性），已经纠正。还有更多未纠正。 - 由于解决时间比应有的多花了7个月，导致价值损失约110,000美元，OP代币一路跌至约50美分。 当然，在非美元的比赛奖金池中波动是可以接受的风险。但8个月的评委无能和无法结束比赛并不在我的威胁模型中。在C4评审期间，我可以在不到一周的时间内（独立）处理1000个发现，而OP-Java只有360个，还有多个评委。 毫不奇怪，Cantina从未在社交媒体上宣布结果，与本周完成的其他5个比赛相比，显然不可能是他们想避免负面新闻或突出TrustSec的主导地位，对吧？ 真遗憾，我们不得不继续讨论奖金平台的不当行为，而不是关键漏洞，但除了让每个人负责之外别无选择。 关于独立发现的无抱怨技术分析帖子将很快发布。

想象一个世界，在那里说研究人员不应该被虐待是一个有争议的观点…… 当一家拥有无限现金的公司出现并通过收购获得市场主导地位时，这就是发生的事情。对研究人员施加剥削性政策简单地成为了新的纳什均衡。

随着时间的推移，我们越来越清楚地意识到 @cantinaxyz 是一个掠夺性实体，对这个领域造成了净负面影响。 在 @jack__sanford 的精彩文章发布一周后，关于 Cork 竞赛无数缺陷的讨论仍然没有任何回应。考虑到那篇文章所获得的关注，如果他们能够进行辩护，他们肯定会这样做，也就是说沉默就是承认有罪。 本周，我们的 Cantina 奖金提交，虽然他们同意显示出区块链运营商在高可能性下的资金损失上限，但在调解中被裁定为低严重性。阅读了数十份 Spearbit/Cantina 报告和数百份奖金写作后，任何金额的货币损失从未低于中等影响，因此他们显然是在传达赞助商的观点，典型的“客户永远是对的”心态，正如他们一贯所做的。 事实上，他们甚至不掩饰这一点。根据他们自己的文件，他们默认采用客户的视角。我想只有在最严重的情况下，他们才会拒绝客户的看法。 如果客户简单地忽视他们的调解呢？在我们合作过的任何其他平台（例如 @immunefi）上，不尊重调解的行为都是立即移除客户的理由。在 Cantina，客户每年有 5 次奖金诈骗的容忍度。是的，你没看错。 我们最近还发现，他们的 Fellowship 计划有一个高度激进的排他性条款。研究员不能向其他奖金平台提交任何内容，或直接通知项目，即使数百万美元面临风险。相反，这些高度敏感和时间紧迫的信息必须与 Cantina 分享，由他们决定如何处理。他们是老板，他们说了算，低头或离开的心态。 我们还有更多关于 Cantina 的离谱处理的例子，但这些留待另一天再说。现在，我们想像其他领先的社区成员一样，提高意识，审计员在选择花费宝贵时间进行猎捕时应该用脚投票。 一个失去平衡并偏向项目而非奖金猎人的安全平台，破坏了整个白帽过程，并鼓励研究人员通过不太道德的手段来获得他们的价值！让我们作为一个社区，共同努力加强高诚信、透明和净积极的组织，而不是行业霸凌者。 以上声明是 TrustSec 董事会成员的个人意见，应如此解读。

- 将状态变化的代码行数保持在500以下 - 对映射键使用++counter模式 - 不支持原生代币 - 通过状态枚举保持状态机的开放视图 - 1:1测试/代码行数比 - 用标尺格式化每一行代码 看，赢得比赛并不难

作为审计竞赛行业的老手，我将告诉你这些交易是如何达成的。 > 用资金进行协议，并进行3次以上的协作审计 > 知道代码库可能没有重大漏洞 > 想向社区、投资者和其他利益相关者表明你重视安全 > 无意在安全上花费更多资金 > "竞赛"平台有解决方案 > 设置一个保证高/关键奖池不会被解锁的骗局竞赛 > 让中等奖池非常小 > 如果发现高风险漏洞则淡化提交，否则客户不高兴（还记得Euler吗？） > "竞赛"平台和你都获得免费营销 > 安全研究员被坑但你不在乎 > 重复但让下一个骗局竞赛公告更加乐观。

警告 ⚠️：这不是一个新的赏金报告 我们审计员都喜欢专注于那些吸引人的关键点，并尽量减少非技术工作。谁会在发现一种新方法来耗尽DeFi合约时还关心文书工作和会议呢？但所有事情都应该适度进行，我们经常看到独立研究人员完全忽略与客户签署基本协议。 这也是我们在TrustSec的最初几个月所做的事情——在TG/discord上与客户联系，讨论团队、价格和时间表，然后直接开始。感觉顺畅无阻，那么问题出在哪里呢？ 如同许多事情一样，它在顺利进行时效果很好，直到不再顺利。当你每年管理50多个审计时，你会开始遇到边缘情况。当你遇到这些情况时，提前解决问题可以避免在审计时间线的潜在敏感点上产生大量摩擦。 看，服务协议的意义不在于它可以在距离你当前位置数千英里的法院进行诉讼。当然，在最坏的情况下，可能会这样。但大多数情况下，它是为了对双方的期望进行对齐，是一种迫使双方讨论他们本不会讨论的细节的方式。 以下是一些已经出现并应明确处理的情景： - 客户在开始日期前没有准备好最终提交。 - 由于不可预见的原因，一位或多位审计员在部分或整个审计窗口期间不可用。 - 最终范围需要更长的审查时间，增加了成本。 - 争论使用哪种工具和格式来计算最终SLOC。 - 客户在修复审计中引入了新功能进行审查。 - 要求在报告交付后才付款。 - 客户希望在仅提前24小时通知的情况下取消审计。 - 客户希望在他们首选的区块链上发送付款。 - 对报告在可接受的等待期后发布的异议。 除了明确如何处理这些情景外，协议还为审计员提供了关键保护： - 免除对错过的漏洞和攻击的责任。 - 保留在审计期间开发的工具、攻击概念的知识产权（在法律允许的范围内）。 - 安排定金、取消费用等。 - 满足尽职调查要求、KYB和法律框架。这与税收、合规性和资金来源要求相关。 出于这些原因，我们很快发现，在预订之前花一点额外时间是非常值得的，我们鼓励每位经营合法业务的审计员也这样做。

在2024年底，TrustSec在@OPLabsPBC Optimism客户端中发现了一个共识漏洞。在最坏的情况下，op-node会对L2状态产生错误的看法，导致与其他客户端的链分裂。为了表彰我们的研究，OP Labs慷慨地给予我们7500美元的赏金。查看下面的技术报告以了解所有细节！