Обсуждение уязвимостей смарт-контрактов

[mmdblack]

Т.е при помощи mythril можно просканировать любой смарт-контракт на уязвимости?
Извиняюсь если вопрос не по теме

 

[candydog]

Чушь какая-то. Деньги за деньги продает тем, кто плохо понимает, как работают контракты на evm цепочках. Скидки какие-то... Ты осознаешь свое коммерческое предложение в принципе? То, что ты там что-то на фаззил, ни о чем не говорит. Если бы ты митрилом находил уязвимости с высоким импактом (high) не было подобных объявлений на этом форуме от тебя. Что получается, утилиту запустит смог, а poc реализовать не в состоянии? Людям мозги не пудри, если уж и занимаешься просветлением комьюнити по аудитом контрактов (судя по твоим education постам), то делай это с совестью

 

[вавилонец]

Чушь какая-то. Деньги за деньги продает тем, кто плохо понимает, как работают контракты на evm цепочках. Скидки какие-то... Ты осознаешь свое коммерческое предложение в принципе? То, что ты там что-то на фаззил, ни о чем не говорит. Если бы ты митрилом находил уязвимости с высоким импактом (high) не было подобных объявлений на этом форуме от тебя. Что получается, утилиту запустит смог, а poc реализовать не в состоянии? Людям мозги не пудри, если уж и занимаешься просветлением комьюнити по аудитом контрактов (судя по твоим education постам), то делай это с совестью

Все контракты прошли автоматическое сканирование mythril'ом и имеют подтверждение о наличие уязвимости

Если вы читаете мои обучающие статьи и работали сканером mythril то ниже указанный вывод должен быть вам непременно знаком.

==== Integer Overflow ====
SWC ID: 101
Severity: High
Contract: 0x8A31*******************Baa3e4B12c8FE0952AB7
Function name: mint(uint256)
PC address: 3724
Estimated Gas Usage: 45573 - 109821
The binary addition can overflow.
The operands of the addition operation are not sufficiently constrained. The addition could therefore result in an integer overflow. Prevent the overflow by checking inputs or ensure sure that the overflow is caught by an assertion.
--------------------
Initial State:

Account: [ATTACKER], balance: 0x400000000000004, nonce:0, storage:{}
Account: [SOMEGUY], balance: 0x0, nonce:0, storage:{}

Transaction Sequence:

Caller: [ATTACKER], function: mint(uint256), txdata: 0xa0712d68000000000000000000000000000000000000000000000000000000000000000a, value: 0x470de4df820000

==== External Call To User-Supplied Address ====
SWC ID: 107
Severity: Medium
Contract: 0x8A317******************2c8FE0952AB7
Function name: mint(uint256)
PC address: 6184
Estimated Gas Usage: 45573 - 109821
A call to a user-supplied address is executed.
An external message is sent to an address specified by the caller. Note that the callee account might contain arbitrary code and could re-enter any function with this contract. Reentering the contract in an intermediate state may lead to unexpected behaviour. Make sure that state is no state modifications are executed after this call and/or reentrancy guards are in place.
--------------------
Initial State:

Account: [ATTACKER], balance: 0x20000001500040100, nonce:0, storage:{}
Account: [SOMEGUY], balance: 0x0, nonce:0, storage:{}

Transaction Sequence:

Caller: [ATTACKER], function: mint(uint256), txdata: 0xa0712d68000000000000000000000000000000000000000000000000000000000000000a, value: 0x470de4df820000

Вот high и medium, обе в функциях mint - которая означает выпуск монеты.

То, что ты там что-то на фаззил, ни о чем не говорит.

если вы читаете мои edication посты, то должны были прочесть что фаззер echidna работает на слитере и отличается от сканеров байткода тем что имеет возможность задавать границы тестируемого пространства каждой функции самостоятельно. Что впринципе лучше.
______________________________________________________________________________________________________________________________________________________________________
ВНИМАНИЕ! Если Вы ни разу не эксплуатировали уязвимости, настоятельно рекомендую воспользоваться АКЦИЕЙ, расчитывать свои силы и повышать навыки постепенно.
______________________________________________________________________________________________________________________________________________________________________

 

[вавилонец]

Т.е при помощи mythril можно просканировать любой смарт-контракт на уязвимости?
Извиняюсь если вопрос не по теме

Мануал по крипте бесплатный, можно начинать без опыта /совсем/ -> https://xss.pro/threads/73652/

 

[candydog]

Ты знаком с таким понятием, как "ложное срабатывание" или "не эксплуатабельно" или "ханипот"? Давай остановимся на третьим. Предположим, найдется человек, который захотел попытать удачу, узнать, что же это такое - ваши смарт контракты. Предположим, он у тебя покупает адрес контракта и лог. Предположим покупатель серьезный программист (хотя какой он серьезный, если покупает не до да что-то), который пишет эксп и осознает, что на атаку надо потратиться, а именно: хочешь получить 1000$ - заплати 500$. Мы приходим к тому, что наш "серьезный программист" тратиться в двойне: сначала на покупку твоих логов, потом на саму эксплуатацию псевдо-уязвимости. А что если эта бага в контракте, которая у тебя была куплена, является нашим 3 понятием - ханипотом? Ханипоты ведь так и работают: контракты написаны таким образом, чтобы любая паблик утилита (фаззер) была заточена на обнаружение конкретного бага самого примитивного, но в самом контракте будет заплатка, которое собственно и выполняет логику обмануть дурака. Ты несешь ответственность за это? То, что ты предлагаешь даже котом в мешке назвать нельзя. Это чистая разводка. Еще раз повторюсь, если бы ты имел реальную уязвимость (я уже молчу о множестве уязвимостей) в контракте, подобных рассуждений здесь не было. Новичок может решать CTF таски бесплатно, а ты пытаешься, по моему мнению за мотивировать покупателя купить у тебя что-то что принесет исключительно только тебе деньги. Покупатель деньги заплатил и навряд ли он что то получит ценное, потому что не бывает такого в принципе и любой здравомыслящий человек это понимает. Не бывает такого, чтобы продавали деньги за деньги. Если есть уязвимости, то давай мы с тобой напишем poc к ним и посмотрим в тестовой среде на моей ноде, действительно ли это, что ты продаешь является уязвимостями. Я почему-то сомневаюсь в этом. Есть мысль, что ты сам патченные контракты и развернул и сейчас пытаешься найти жертву на свой скам имея раскрученный профиль на данном форуме. Надеюсь кто-то мое сообщение прочитает и будет более осторожнее относиться к таким вот предложениям. Обсуждайте заранее четкие условия выгодные вам при сделки с создателем этого поста. Никого не хочу обидеть и все выше написанное лишь мои доводы

 

[вавилонец]

Ты знаком с таким понятием, как "ложное срабатывание" или "не эксплуатабельно" или "хонипот"? Давай остановимся на третьим. Предположим, найдется человек, который захотел попытать удачу, узнать, что же это такое - ваши смарт контракты. Предположим, он у тебя покупает адрес контракта и лог. Предположим покупатель серьезный программист (хотя какой он серьезный, если покупает не до да что-то), который пишет эксп и осознает, что на атаку надо потратиться, а именно: хочешь получить 1000$ - заплати 500$. Мы приходим к тому, что наш "серьезный программист" тратиться в двойне: сначала на покупку твоих логов, потом на саму эксплуатацию псевдо-уязвимости. А что если эта бага в контракте, которая у тебя была куплена, является нашим 3 понятием - хонипотом? Хонипоты ведь так и работают: контракты написаны таким образом, чтобы любая паблик утилита (фаззер) была заточена на обнаружение бага, но в самом контракте будет заплатка, которое собственно и выполняет логику обмануть дурака. Ты несешь ответственность за это? То, что ты предлагаешь даже котом в мешке назвать нельзя. Это чистая разводка. Еще раз повторюсь, если бы ты имел реальную уязвимость (я уже молчу о множестве уязвимостей) в контрактах, подобных рассуждений здесь не было. Новичок может решать CTF таски бесплатно, а ты пытаешься, по моему мнению за мотивировать покупателя купить у тебя что-то что принесет исключительно только тебе деньги. Покупатель деньги заплатил и навряд ли он что то получит ценное, потому что не бывает такого в принципе и любой здравомыслящий человек это понимает. Не бывает такого, чтобы продавали деньги за деньги. Если есть уязвимости, то давай мы с тобой напишем poc к ним и посмотрим в тестовой среде на моей ноде, действительно ли это, что ты продаешь является уязвимостями. Я почему-то сомневаюсь в этом. Есть мысль, что ты сам патченные контракты и развернул и сейчас пытаешься найти жертву на свой скам имея раскрученный профиль на данном форуме. Надеюсь кто-то мое сообщение прочитает и будет более осторожнее относиться к таким вот предложениям. Обсуждайте заранее четкие условия выгодные вам при сделки с создателем этого поста. Никого не хочу обидеть и все выше написанное лишь мои доводы

ложно сработали 3 сканера?
неэксплуатабельно - если не умеешь эксплуатировать.
потратиться на атаку? - а как покупают эксплойты, не трата на атаку?
ханипот? - "написаны таким образом, чтобы любая паблик утилита (фаззер) была заточена на обнаружение бага, но в самом контракте будет заплатка, которое собственно и выполняет логику обмануть дурака." - с твоих слов ханипоты пишут таким образом чтобы их фаззеры искали? а если в контракте заплатка то не найдут, а тут нашли оказывается багу) и ханипотов видел вполне достаточно и коду solidity тут мною разжёвано было достаточно.
решать ctf можно без $ их около 100 таких нормальных по типу опензеппелин задач а что дальше? писать первым сообщением такие отзывы и ставить дизлайки, это все горазды
Просил пруфы с mythril'ом я тебе их предоставил.
Если ты еще идёшь по Мануал по крипте бесплатный, можно начинать без опыта /совсем/ -> https://xss.pro/threads/73652/
этому пути тебя ждёт долгожданная эксплуатация и как научишься - приходи с радостью продам, я не держу обид на людей которые может и не со зла но мешают.
______________________________________________________________________________________________________________________________________________________________________
ВНИМАНИЕ! Если Вы ни разу не эксплуатировали уязвимости, настоятельно рекомендую воспользоваться АКЦИЕЙ, расчитывать свои силы и повышать навыки постепенно.
______________________________________________________________________________________________________________________________________________________________________

 

[candydog]

родам, я не держу обид на людей которые может и не со зла но мешают.
______________________________________________________________________________________________________________________________________________________________________
ВНИМАНИЕ! Если Вы ни разу не эксплуатировали уязвимости, настоятельно рекомендую воспользоваться АКЦИЕЙ, расчитывать свои силы и повышать навыки постепенно.
______________________________________________________________________________________________________________________________________________________________________

Ты забыл добавить: мешают обманнывать. Я так и не нашел четкого ответа на мой вопрос и видимо, не найду и не увижу. Удачи

 

[вавилонец]

Ты забыл добавить: мешают обманнывать. Я так и не нашел четкого ответа на мой вопрос и видимо, не найду и не увижу. Удачи

братан, $5к закидывай в деп, поднимать ноду не надо, на это существует тестовая сеть а еще проще, раз вы такие умные испльзовать js машину в ремиксе и там проводить первые опыты. Как деп покажешь свой я тебе 10 контрактов с higt сюда запостю, отсканеных 3 сканерами. Но если ты ни под одним не напишешь эксплойт - твой деп уходит на развитие форума.

 

[Lupin]

Ты знаком с таким понятием, как "ложное срабатывание" или "не эксплуатабельно" или "ханипот"? Давай остановимся на третьим. Предположим, найдется человек, который захотел попытать удачу, узнать, что же это такое - ваши смарт контракты. Предположим, он у тебя покупает адрес контракта и лог. Предположим покупатель серьезный программист (хотя какой он серьезный, если покупает не до да что-то), который пишет эксп и осознает, что на атаку надо потратиться, а именно: хочешь получить 1000$ - заплати 500$. Мы приходим к тому, что наш "серьезный программист" тратиться в двойне: сначала на покупку твоих логов, потом на саму эксплуатацию псевдо-уязвимости. А что если эта бага в контракте, которая у тебя была куплена, является нашим 3 понятием - ханипотом? Ханипоты ведь так и работают: контракты написаны таким образом, чтобы любая паблик утилита (фаззер) была заточена на обнаружение конкретного бага самого примитивного, но в самом контракте будет заплатка, которое собственно и выполняет логику обмануть дурака. Ты несешь ответственность за это? То, что ты предлагаешь даже котом в мешке назвать нельзя. Это чистая разводка. Еще раз повторюсь, если бы ты имел реальную уязвимость (я уже молчу о множестве уязвимостей) в контракте, подобных рассуждений здесь не было. Новичок может решать CTF таски бесплатно, а ты пытаешься, по моему мнению за мотивировать покупателя купить у тебя что-то что принесет исключительно только тебе деньги. Покупатель деньги заплатил и навряд ли он что то получит ценное, потому что не бывает такого в принципе и любой здравомыслящий человек это понимает. Не бывает такого, чтобы продавали деньги за деньги. Если есть уязвимости, то давай мы с тобой напишем poc к ним и посмотрим в тестовой среде на моей ноде, действительно ли это, что ты продаешь является уязвимостями. Я почему-то сомневаюсь в этом. Есть мысль, что ты сам патченные контракты и развернул и сейчас пытаешься найти жертву на свой скам имея раскрученный профиль на данном форуме. Надеюсь кто-то мое сообщение прочитает и будет более осторожнее относиться к таким вот предложениям. Обсуждайте заранее четкие условия выгодные вам при сделки с создателем этого поста. Никого не хочу обидеть и все выше написанное лишь мои доводы

Никого не хочу оскорбить, но ты понял что написал?))) Именно в данном случае что получит владелец Ханипота допустим? Атакующий заплатит 8к газа и все... Ханипоты имеют место быть в подобных случаях для Фронтрана... И про CTF для новичка, самое жаркое)))) Ты их видел?) Половина CTF уже не юзабельные от слова прям совсем(Спасибо версии ^0.8.0)... А фраза деньги за деньги.... Ну так это относится ко всему серо-черному дружище) Сетки, Логи, БА... и тд и тп...

 

[bryan_doe]

nice honeypot implementation when you can sell under some treshold, so a user checks with a small amount, gets profit, but locks his liquidiy once he decided to go all in. this is can be detected only through a transaction simulation as static analysis might not provide required result.

 

[scoring0]

Господа, а чем сканить неразбайткоденые контракты в BSC сети?
Сдается мне mythril такое не переваривает...