Dlaczego wyniki o niskiej ważności mówią więcej o audycie niż krytyczne błędy Wiele firm audytorskich skupia swoją ofertę sprzedaży na liczbie znalezionych szczytów, tak jakby ta liczba nie była tylko szumem bez podłączenia do kontekstu: wcześniejszych audytów, wzajemnej oceny, poziomów pokrycia testami, złożoności kodu, liczby linii i wielu innych wskaźników. Jest to najniższa forma sprzedaży, niczym nie różniąca się od porównywania np. jakości pendrive'ów przez ich długość w milimetrach. Aby pokazać alternatywę, musimy najpierw potwierdzić poprawność kilku twierdzeń wspierających: - Prawdopodobieństwo przypadkowego wstrzyknięcia błędu nie ma wpływu na większe skutki (programiści nie są bardziej lekkomyślni w kodzie o wysoką stawkę, zwykle jest odwrotnie). - Te same kompleksowe metodologie, które są używane do wykrywania wad o różnej wadze, wykrywają również problemy o wysokiej wadze (odwrotne nie ma miejsca). - Istnieją znacznie wyższe wymagania, aby losowy błąd kwalifikował się jako o wysokiej wadze (często byłby zablokowany za nieosiągalnymi warunkami lub dotykałby niekrytycznych funkcji). - Z podstawowych statystyk: wyższa częstotliwość próbkowania koreluje z niższym oczekiwanym odchyleniem/wariancją, a tym samym z dokładniejszym pomiarem. Zdefiniujmy raport z inspekcji jako wynik próbkowania jakości bazy kodu. Wnioskujemy, że oczekiwana rzeczywista liczba szczytów (bez chybień) jest znacznie niższa niż dołków, a oczekiwane odchylenie wokół niej jest znacznie wyższe (ze względu na mniejszą próbkę). Innymi słowy, liczba wzlotów mówi nam bardzo niewiele o liczbie pominiętych szczytów. Tak zaskakująco, raport 1 szczyt i 10 dołków jest bardziej uspokajający niż raport z 10 szczytami, przy czym wszystkie inne czynniki są równe. Chociaż w rzeczywistości zdecydowana większość sprzedawców wolałaby pokazywać to drugie jako wyznacznik jakości. Chodzi o to, że metryka o wysokiej częstotliwości jest lepszym narzędziem do mierzenia wyników o niskiej częstotliwości. Budowniczowie Web3, następnym razem, gdy firmy machają do was swoimi liczbami Crit/High i zabezpieczoną linią X miliardów dolarów, wiecie, na czym się skupić, aby poszukać prawdziwego sygnału. Audytorzy Web3 uznają, że nie ma spójnej tajnej formuły na znalezienie wszystkich szczytów bez jednoczesnego szukania dołków - każdy dołek, który nie został w pełni zbadany, jest potencjalnym szczytem - i poświęć najlepszą uwagę każdej linii. Twój klient Ci za to podziękuje. Niska istotność jest definiowana jako konkretne błędy w kodowaniu, które nie skutkują skutkami wyższego poziomu. Nie obejmuje formatowania, sprawdzonych metod i wyników wypełniania.

Krytyczne w usłudze Git wydane wczoraj, które może zostać wywołane przez git klon niezaufanego repozytorium. To jest wymarzony wektor, aby pwn audytorzy i ukraść ich nagrody / pieniądze z audytu. Załataj swoje systemy przed wyceną nowych klientów! I spodziewaj się gości w Twojej skrzynce odbiorczej w nadchodzących tygodniach...

Okazuje się, że można zdobyć nagrody pięcio-znakowe w konkursach, nie odkrywając żadnych problemów, wystarczy mieć półfunkcjonalny mózg. W konkursie OP Fault Proofs w marcu 2024 roku, deweloperzy naprawili krytyczny problem dzień przed jego rozpoczęciem, ale nie wprowadzili go do kodu. 🔗 Patrząc tylko na publiczny dziennik commitów, zdobywasz wysoką nagrodę 🔗 🔗 Ostatecznie była to nagroda w wysokości 16680 dolarów: To tylko jeden z wielu trików, aby znaleźć błędy w zakresie, nie szukając ich faktycznie. Zawsze staraj się pracować mądrze, a nie ciężko.

Postanowiłem wypróbować Cantinę w październiku zeszłego roku, 8 miesięcy później wyniki są wreszcie dostępne... Dziesiątki pojedynczych wyników w pierwszym audycie Java i 3-7-krotne prześcignięcie najlepszych braci z rankingu Cantina wydaje się całkiem niezłe, nie będę kłamać. Szkoda, że doświadczenia po audycie były tak okropne, że przysiągłem sobie, że nigdy nie wrócę na tę platformę. *Uzasadnione ostrzeżenie tyrady* - 8-miesięczny czas na rozwiązanie problemu, w chwili pisania tego tekstu - nagroda nadal nie została wysłana. - Dziesiątki godzin spędzonych na eskalacji i obronie wniosków przed błędnymi werdyktami. - Policzono ~ 104 błędy w ocenie (błędne duplikaty, wyraźne nieprawidłowe, niewłaściwa waga), które zostały poprawione. Więcej takich, które tego nie zrobiły. - Utrata wartości w wysokości ~110 000 USD z powodu rozwiązania trwającego 7 miesięcy dłużej niż powinna, a token OP spadł do ~50 centów. Oczywiście, podczas rywalizacji w pulach konkursowych innych niż USD wahania są akceptowanym ryzykiem. Ale 8 miesięcy, w których sędziowie byli niekompetentni i nie byli w stanie zakończyć konkursu, nie było częścią mojego modelu zagrożenia. Podczas dni sędziowania C4 w pełni przetworzyłem 1000 wyników w mniej niż tydzień (solo), OP-Java miała 360 i wielu sędziów. Nie jest niespodzianką, że Cantina nigdy nie ogłosiła wyników w mediach społecznościowych, w przeciwieństwie do 5 innych konkursów, które zakończyły się w tym tygodniu, z pewnością nie mogło być tak, że chcieli uniknąć złej prasy lub podkreślania dominacji TrustSec, prawda? Szkoda, że musimy nadal dyskutować o nadużyciach platformy bounty zamiast o krytycznych błędach, ale nie ma innego wyjścia, jak tylko pociągnąć wszystkich do odpowiedzialności. Wkrótce pojawi się post z analizą techniczną dotyczącą pojedynczych znalezisk.

Wyobraźmy sobie świat, w którym stwierdzenie, że naukowcy nie powinni być wykorzystywani, jest kontrowersyjne. Tak się dzieje, gdy pojawia się firma z nieograniczoną gotówką i kupuje sobie drogę do dominacji na rynku. Zrzucanie na naukowców za pomocą polityki wydobywczej staje się po prostu nową równowagą Nasha

Każdego dnia staje się coraz bardziej oczywiste, że @cantinaxyz jest podmiotem wyzyskującym i ma negatywny wpływ na przestrzeń. Tydzień po znakomitym artykule @jack__sanforda na temat licznych niedociągnięć konkursu Cork i brak jakiejkolwiek reakcji wkrótce. Przy ilości uwagi, jaką ten artykuł otrzymał, gdyby mogli się bronić, z pewnością by to zrobili, czyli milczenie to przyznanie się do winy. W tym tygodniu nasza propozycja nagrody Cantina, którą zgodzili się pokazać jako ograniczoną stratę funduszy dla operatora blockchaina o wysokim prawdopodobieństwie, zakończyła się mediacją na niskim poziomie powagi. Po przeczytaniu dziesiątek raportów Spearbit/Cantina i setek opisów nagród, strata finansowa jakiejkolwiek kwoty nigdy nie jest poniżej średniego wpływu, więc wyraźnie przekazują perspektywę sponsora w klasycznym podejściu "klient ma zawsze rację", jak to zawsze robią. W rzeczywistości nawet tego nie ukrywają. Z ich własnych dokumentów wynika, że domyślnie przyjmują perspektywę klienta. Chyba tylko w najbardziej rażących przypadkach odrzucają zdanie klienta. A co jeśli klient po prostu zignoruje ich mediację? Na każdej innej platformie (np. @immunefi), z którą współpracowaliśmy, brak poszanowania mediacji jest podstawą do natychmiastowego usunięcia klienta. Na Cantina klient ma przyzwolenie na 5 oszustw nagród rocznie. Tak, dobrze przeczytałeś. Ostatnio odkryliśmy również, że ich program Fellowship ma bardzo agresywną klauzulę o wyłączności. Fellows nie mogą składać niczego na innych platformach nagród ani bezpośrednio informować projektów, nawet jeśli ryzykują miliony dolarów. Zamiast tego ta wysoce wrażliwa i krytyczna wiedza musi być dzielona z Cantina, która decyduje, jak postępować. Oni są szefami, oni podejmują decyzje, mentalność "ukłon się lub odejdź". Mamy więcej przykładów skandalicznego traktowania na Cantina, ale zostawimy je na inny dzień. Na razie chcemy zwiększyć świadomość, jak inni czołowi członkowie społeczności, że audytorzy powinni głosować swoimi nogami, jeśli chodzi o to, gdzie spędzają swój cenny czas na polowaniu. Platforma bezpieczeństwa, która traci równowagę i faworyzuje projekty kosztem łowców nagród, podważa cały proces białego kapelusza i zachęca badaczy do zarabiania na swoje życie w mniej etyczny sposób! Pracujmy jako społeczność, aby wzmocnić organizacje o wysokiej integralności, przejrzystości i pozytywnym wpływie nad branżowymi tyranami. Powyższe oświadczenie jest osobistą opinią członków zarządu TrustSec i powinno być interpretowane jako takie.

- Utrzymuj zmieniające stan LoC poniżej 500 - używaj wzorca ++counter do mapowania kluczy - nie wspieraj tokenów natywnych - trzymaj maszynę stanów w otwartym widoku za pomocą enumów stanu - stosunek testów do LoC 1:1 - formatuj każdą linię kodu za pomocą linijki Widzisz, wygranie gry nie jest takie trudne.

Jako weteran branży konkursów audytorskich opowiem Ci, jak zawierane są takie transakcje. > Bądź protokołem z pieniędzmi i wykonuj 3+ wspólnych audytów > Wiedz, że baza kodu prawdopodobnie nie zawiera znaczących błędów > Chcesz zasygnalizować społeczności, inwestorom i innym interesariuszom, że zależy Ci na bezpieczeństwie > Nie masz zamiaru wydawać więcej pieniędzy na bezpieczeństwo > Platforma "Konkurs" ma rozwiązanie > Zorganizuj konkurs na dywan, gwarantując, że pule High/Crit nie zostaną odblokowane > Spraw, aby doniczka Med była bardzo mała > Jeśli znaleziono High, zbagatelizuj sumission, w przeciwnym razie klient będzie niezadowolony (pamiętasz Eulera?) > Zarówno platformę "Konkurs", jak i otrzymujesz darmowy marketing > SR wytrzymały, ale nie obchodzi cię to > Powtórz, ale spraw, aby ogłoszenie o następnym konkursie dywanów było jeszcze bardziej optymistyczne.

Ostrzeżenie ⚠️ : Nie jest to nowy zapis o nagrodzie My, audytorzy, lubimy skupiać się na soczystych trafieniach krytycznych i ograniczać do minimum prace niezwiązane z technologią. Kto by się przejmował papierkową robotą i spotkaniami, skoro właśnie znalazłeś nowatorski sposób na opróżnienie kontraktu DeFi? Ale wszystko powinno być robione z umiarem i zbyt często widzimy, jak niezależni badacze całkowicie oszczędzają na podpisaniu nawet podstawowej umowy z klientem. To było coś, co robiliśmy również w pierwszych miesiącach TrustSec - połączyliśmy się z klientem na TG / discordzie, omówiliśmy zespół, cenę i harmonogram i po prostu zaczęliśmy. Czułem się płynnie i bez tarcia, więc w czym problem? Podobnie jak w przypadku wielu rzeczy, działa dobrze, dopóki nie przestanie. Kiedy zarządzasz 50+ audytami rocznie, zaczynasz napotykać skrajne przypadki. A kiedy to zrobisz, wyjaśnienie spraw z wyprzedzeniem pozwoli uniknąć mnóstwa tarć w potencjalnie wrażliwych punktach na osi czasu audytu. Widzisz, sens umowy o świadczenie usług nie polega na tym, że można ją zaskarżyć w sądzie oddalonym o tysiące kilometrów od Twojej obecnej lokalizacji. Oczywiście, w najgorszym przypadku może tak być. Ale przede wszystkim robi się to po to, aby wyrównać oczekiwania obu stron, sposób na zmuszenie dwóch stron do rozmowy o szczegółach, których w przeciwnym razie by nie omówiły. Oto tylko kilka scenariuszy, które pojawiły się i powinny być jawnie obsługiwane: - Klient nie jest gotowy z ostatecznym zatwierdzeniem przed datą rozpoczęcia. - Z nieprzewidzianych przyczyn co najmniej jeden audytor nie jest dostępny w części lub w całym okresie audytu. - Ostateczny zakres wymaga dłuższego czasu weryfikacji, co zwiększa koszty. - Dyskusja na temat tego, które narzędzie i formatowanie jest używane do liczenia końcowego SLOC. - Klient wprowadza nową funkcjonalność do sprawdzenia w audycie poprawek. - Prośba o wysłanie płatności dopiero po dostarczeniu raportu. - Klient chce anulować audyt z zaledwie 24-godzinnym wyprzedzeniem. - Klient chce wysłać płatność na preferowanym przez siebie blockchainie. - Zastrzeżenia co do publikacji raportu po akceptowalnym okresie oczekiwania. Oprócz jasnego określenia, jak postępować w takich sytuacjach, umowa zapewnia również audytorom krytyczną ochronę: - Zrzeka się wszelkiej odpowiedzialności za pominięte błędy i exploity. - Utrzymuje prawa własności intelektualnej do narzędzi, koncepcji ataków opracowanych w trakcie audytu (w zakresie, w jakim pozwalają na to przepisy prawa). - Ustala zaliczki, opłaty za anulowanie i tak dalej. - Spełnia wymogi należytej staranności, KYB i ramy prawne. Jest to istotne z punktu widzenia wymogów dotyczących opodatkowania, zgodności i źródła finansowania. Z tych powodów szybko stwierdziliśmy, że warto poświęcić trochę dodatkowego czasu przed dokonaniem rezerwacji i zachęcamy każdego audytora prowadzącego legalną działalność do zrobienia tego samego.

Pod koniec 2024 roku TrustSec wykrył błąd konsensusu w @OPLabsPBC kliencie Optimism. W najgorszym przypadku op-node miałby błędny widok stanu L2, powodując rozdzielenie łańcucha od innych klientów. Za nasze badania OP Labs hojnie przyznało nam nagrodę w wysokości 7,5 tys. USD. Sprawdź wszystkie szczegóły w poniższym artykule technicznym!