為什麼低嚴重性發現比關鍵錯誤更能反映您的審計 許多審計公司在銷售時專注於發現的高嚴重性數量，彷彿這個數字沒有上下文的情況下就有意義：之前的審計、同行評審、測試覆蓋率、代碼複雜性、行數以及許多其他指標。這是最低級的銷售手法，與例如通過長度來比較 USB 驅動器的質量並無不同。 為了展示一個替代方案，我們首先必須確認幾個支持性主張的正確性： - 意外錯誤注入的概率對於高影響沒有偏見（開發者在高風險代碼中並不會更魯莽，通常情況正好相反）。 - 用於發現各種嚴重性缺陷的全面方法論也會發現高嚴重性問題（反之則不成立）。 - 隨機錯誤要符合高嚴重性的要求要高得多（通常會被無法達到的條件限制，或涉及非關鍵功能）。 - 根據基本統計學：更高的抽樣率與較低的預期偏差/變異相關，因此測量更準確。 讓我們將審計報告定義為對代碼庫質量的抽樣結果。我們推斷，預期的真實（無遺漏）高嚴重性數量遠低於低嚴重性數量，且其周圍的預期偏差要高得多（因為樣本較小）。換句話說，高嚴重性數量對於遺漏的高嚴重性數量告訴我們的資訊非常有限。 因此，令人驚訝的是，1個高嚴重性，10個低嚴重性的報告在其他條件相同的情況下比10個高嚴重性，1個低嚴重性的報告更令人安心。雖然事實上絕大多數銷售人員會更願意展示後者作為質量的指標。重點是，高頻指標是衡量低頻結果的更好工具。 Web3 建設者，下次當公司向您展示他們的關鍵/高嚴重性數量和 X 億美元的安全資金時，您知道該專注於哪裡以尋找真正的信號。 Web3 審計員，認識到沒有一致的秘密公式可以在不尋找低嚴重性的情況下找到所有高嚴重性 - 每一個未完全調查的低嚴重性都是潛在的高嚴重性 - 並且給予每一行最好的關注。您的客戶會感謝您。 低嚴重性被定義為不會導致更高層次影響的具體編碼錯誤。不包括格式、最佳實踐和填充發現。

昨天發布了一個在 git 中的關鍵漏洞，該漏洞可以通過克隆不受信任的倉庫來觸發。這是攻擊審計員並竊取他們的獎金/審計資金的夢想向量。在引用任何新客戶之前，請修補您的系統！並期待在接下來的幾周內收到來自訪客的消息...

結果發現，你可以在比賽中獲得五位數的獎金，而不必實際發現任何問題，只需要一個半功能的大腦。 在2024年3月的OP Fault Proofs比賽中，開發者在比賽開始前一天修復了一個關鍵問題，但並沒有合併進去。🔗 只需查看公共提交日誌，你就能獲得高額獎金 🔗 🔗 最終獲得了16680美元的獎金： 這只是許多找到範圍內漏洞的技巧之一，而不必實際尋找它們。總是要努力聰明地工作，而不是辛苦地工作。

去年 10 月決定嘗試一下 Cantina，8 個月後結果終於出來了...... 在第一次 Java 審計中發現了數十個單獨的發現，並且比頂級 Cantina 排行榜兄弟高出 3-7 倍，感覺相當不錯，不會撒謊。 遺憾的是，審計后的經歷太糟糕了，我發誓再也不會回到那個平臺了。*合理的咆哮警告* - 截至撰寫本文時，8 個月的解決時間 - 賞金仍未發送。 - 花費數十小時上報和捍衛提交的錯誤判決。 - 已統計 ~ 104 個已更正的評審錯誤（錯誤的複製、明顯的無效、錯誤的嚴重性）。更多沒有的。 - 價值損失 ~110,000 美元，因為解決時間比應有的時間多了 7 個月，並且 OP 代幣跌至 ~50 美分。 當然，當參加非美元比賽底池時，波動是一種可以接受的風險。但是 8 個月的裁判不稱職並且無法結束比賽並不是我威脅模型的一部分。在 C4 評審日期間，我會在一周內（單獨）完全處理 1000 個結果，OP-Java 有 360 名和多名評委。 毫不奇怪，Cantina 從未在社交媒體上宣布結果，這與本周完成的其他 5 場比賽不同，他們當然不可能避免負面新聞或強調 TrustSec 的主導地位，對吧？ 遺憾的是，我們不得不繼續討論賞金平臺的不當行為而不是關鍵錯誤，但除了讓每個人都承擔責任之外，別無選擇。 關於單獨發現的無咆哮技術分解帖子將很快發佈。

想像一下，在這個世界里，說研究人員不應該被虐待是一個有爭議的看法.. 當一家擁有無限現金的公司出現併購購買以佔據市場主導地位時，就會發生這種情況。向採取採掘政策的研究人員傾銷只是新的納什均衡

隨著時間的推移，我們越來越清楚地意識到，@cantinaxyz是一個採掘性的實體，是這個空間的凈負面因素。 一周過去了，@jack__sanford 的殺手鐧文章談到了科克競賽的無數缺陷，而且沒有很快做出回應的跡象。鑒於那篇文章受到了如此多的關注，如果他們能進行辯護，他們肯定會這樣做，也就是沉默就是承認有罪。 本周，我們提交的 Cantina 賞金提案，他們同意該提案顯示，區塊鏈運營商的資金損失上限為高風險，在調解中解決為低嚴重性。在閱讀了 10 多篇 Spearbit/Cantina 報告和 100 多篇賞金文章後，任何金額的金錢損失都不會低於中等影響，因此他們顯然以經典的“客戶永遠是對的”心態傳達了贊助商的觀點，就像他們一直做的那樣。 事實上，他們甚至不掩飾這樣做。通過他們自己的文檔，他們預設為 Client's Perspective。我想只有在最惡劣的情況下，他們才會拒絕客戶的看法。 如果客戶只是忽略了他們的中介怎麼辦？在我們合作過的任何其他平臺（例如 @immunefi）中，不尊重調解都是立即刪除客戶的理由。在 Cantina 上，客戶每年有 5 次賞金騙局的津貼。是的，你沒看錯。 我們最近還發現，他們的 Fellowship 計劃有一個非常激進的排他性條款。研究員不能向其他賞金平臺提交任何內容，也不能直接通知專案，即使數百萬美元面臨風險。相反，這些高度敏感且時間緊迫的知識必須與 Cantina 共用，由 Cantina 決定如何進行。他們是老闆，他們發號施令，低頭或離開的心態。 我們在 Cantina 上有更多令人髮指的處理例子，但這些留到另一天再說。目前，我們希望提高認識，就像其他領先的社區成員一樣，審計員在花費寶貴時間尋找的地方時，應該用腳投票。 一個失去平衡並偏愛專案而不是賞金獵人的安全平臺會破壞整個白帽流程，並鼓勵研究人員通過不那麼道德的手段來賺取他們的價值！讓我們作為一個社區共同努力，加強高度誠信、透明和積極一致的組織，以對抗行業霸凌。 以上聲明是 TrustSec 董事成員的個人觀點，應按此解釋。

- 將狀態更改的 LoC 保持在 500 以下 - 使用 ++Counter 模式映射鍵 - 不支援原生令牌 - 通過狀態枚舉將狀態機保持在打開檢視中 - 1：1 測試/LoC 比率 - 使用尺規格式化每行代碼 看，贏得比賽並不難

作為審計競賽行業的資深人士，我將告訴您此類交易是如何達成的。 > Be protocol with money 並進行 3+ 協作審計 > 知道代碼庫可能沒有重大錯誤 > 希望向社區、投資者和其他利益相關者表明您關心安全性 > 無意在安全上花費更多資金 > 「Contest」 平台有解決方案 > 舉辦一場地毯比賽，保證高/暴擊底池不會被解鎖 >Make Med pot 超小 > 如果找到 High ，則淡化 sumission，否則客戶不滿意（還記得 Euler 嗎？ > 「競賽」平臺，您都可以獲得免費行銷 > SR 堅固耐用，但您不在乎 > 重複，但讓下一次地毯比賽的公告更加樂觀。

警告 ⚠️ ： 不是新的賞金記錄 我們審計員都喜歡專注於多汁的暴擊，並將非技術工作保持在最低限度。當您剛剛找到一種新穎的方法來耗盡 DeFi 合約時，誰會在乎文書工作和會議？但所有事情都應該適度進行，我們經常看到獨立研究人員甚至完全吝嗇與客戶簽署基本協定。 這也是我們在 TrustSec 的頭幾個月所做的 - 在 TG / discord 上與客戶聯繫，討論團隊、價格和時程表，然後開始。感覺光滑無摩擦，那麼問題是什麼？ 與許多事情一樣，它一直運行良好，直到它失效。當您每年管理 50+ 次審計時，您就會開始遇到邊緣情況。當您這樣做時，提前清理事情可以避免在審計時程表中的潛在敏感點出現大量摩擦。 看，服務協議的重點不在於它可以在距離您當前位置數千英里的法院提起訴訟。當然，在最壞的情況下，它可能是可能的。但大多數情況下，這樣做是為了調整雙方的期望，以此迫使雙方談論他們本來不會談論的細節。 以下是已經出現的幾種情況，應該明確處理： - 客戶端在開始日期之前未準備好進行最終提交。 - 由於不可預見的原因，一個或多個審計員在部分或整個審計視窗內不可用。 - 最終範圍需要更長的審核時間，從而增加成本。 - 爭論使用哪種工具和格式來計算最終的 SLOC。 - 用戶端引入了新功能，以便在修復審計中進行審核。 - 要求僅在報告送達后發送付款。 - 客戶希望提前 24 小時通知取消審核。 - 客戶希望在他們首選的區塊鏈上發送付款。 - 對在可接受的等待期后發佈的報告提出異議。 除了明確說明如何處理這些情況外，協定還為審計師提供關鍵保護： - 放棄對遺漏的錯誤和漏洞的任何責任。 - 維護審計期間開發的工具、攻擊概念的智慧財產權（在法律允許的範圍內）。 - 安排首付、取消費用等。 - 滿足盡職調查要求、KYB 和法律框架。這與稅務、合規性和資金來源要求相關。 出於這些原因，我們很快發現在預訂之前花一點額外的時間是非常值得的，我們鼓勵每一位經營合法企業的審計師也這樣做。

2024年底，TrustSec 在Optimism用戶端中發現了一個共識@OPLabsPBC錯誤。在最壞的情況下，op-node 會對 L2 狀態有錯誤的視圖，導致與其他客戶端的鏈分裂。 對於我們的研究，OP Labs 慷慨地獎勵了我們 7.5 美元的賞金。在下面的技術文章中查看所有詳細資訊！