Web3 bounty plz

Друзья, поздравляю всех с наступающим Новым Годом!

Каждому из вас в новом году желаю интересных и прибыльных проектов, развития в тех областях, где хотелось бы, и достижения поставленных целей.

Не забывайте про близких и родных людей. Хотя времени всегда как будто не хватает, семья и друзья — это то, на что действительно стоит его потратить.

Пусть в новом году все станет хотя бы немного лучше, чем в прошлом 🎄

Со своей стороны, постараюсь наконец-то продолжить вести канал, хотя и есть огромное количество другой работы :)

Мне последнее время очень заходит в отпуске или на праздниках читать профлитературу, особенно по темам, которые я недостаточно знаю. Поэтому принёс вам несколько стоящих книг по web3 безопасности)

1. Mastering Ethereum
Это для начинающих скорее, написана хорошо, читать интересно. Есть на английском и русском, также есть в бумаге, но дорогая достаточно. А бесплатно можно почитать тут:
https://ethereumbook.ru/

2. How to DeFi: Beginner и Advanced
Тут рассказывается о DeFi-протоколах — какие они бывают, зачем нужны и как устроены. Очень полезно для поиска в них уязвимостей. Первая совсем простая, вторая достаточно продвинутая уже.

3. Zokyo Auditing Tutorials
https://zokyo-auditing-tutorials.gitbook.io/zokyo-tutorials
Ещё сам не читал, но выглядит прям очень круто. Там разбираются все возможные типы атак/уязвимостей смарт-контрактов, как я понял даже с примерами реальных багов, которые находила эта команда. Сам собираюсь прочитать на каникулах именно ее. Правда неудобно, что это GitBook, но что поделать.

🚀 Сегодня Standoff 365 выходит на международный уровень и первой среди аналогичных российских площадок начинает выплачивать вознаграждения исследователям не только в России, но и за ее пределами!

Мы сможем осуществлять выплаты в удобной для иностранных багхантеров валюте. Для этого напишите нам в специальный бот. Пока это работает в тестовом режиме, и мы отлаживаем процесс.

💬 «Standoff 365 с самого начала задумывалась как площадка, которая сможет привлечь исследователей со всего мира. Мы уже получали отчеты из-за рубежа, но оплатить их до сих пор не могли. Теперь это стало возможным», — рассказал Анатолий Иванов, руководитель направления багбаунти Standoff 365.

⚡️ Добро пожаловать на нашу платформу! Искать уязвимости более чем в 50 программах и получать баунти в любой точке мира можно здесь: https://bugbounty.standoff365.com/

С совсем базовым контентом мы закончили, думаю. Дальше будут более технические посты, а там и до, собственно, безопасности недалеко 🙂

Web3. База №2. История Ethereum.

https://web3.skavans.ru/web3-base-ethereum

Я тут если и буду писать про обычный, web2, багбаунти, то нечасто.

А вот кто про него пишет — это мой хороший знакомый Impact.

Периодически:
- делится небольшими, но полезными, секретами;
- рассказывает интересное из ббшной тусовочки;
- берет интервью у багбаунтеров.

Подписаться можно тут:
@postImpact

Сложные или длинные посты буду теперь писать в телетайпе. Так и писать, и читать проще.

Закинул туда сегодняшний пост, а заодно чуть подробнее расписал, как генерируется блок в биткойне. Если кто не до конца понял – будет полезно)

https://web3.skavans.ru/web3-base-cryptocurrency

31 октября 2008 года участники публичного списка емейл-рассылки о криптографии получили от некого Сатоши Накамото 9-страничный документ, в котором он (или она, или они) описывал способ создания как раз такой децентрализованной валюты, решающий все основные проблемы. Этот документ сейчас известен как Bitcoin White Paper.

Основная идея решения разнообразных проблем заключалась в использовании уже известного на тот момент (но не находившего особенного применения) механизма доказательства работы (Proof of Work). Если очень простыми словами – биткойн работает вот как.

Вся валюта представляет собой сеть устройств двух типов: простой узел и майнер. Каждый узел имеет свой адрес и баланс средств. При переводе средств от одного узла к другому создается транзакция, которую узел пересылает соседним узлам, которые, в свою очередь, пересылают ее дальше. Майнеры собирают эти транзакции в блок.

Когда блок сформирован, майнер начинает работать (work) над подбором числа A, которое, при добавлении к списку всех транзакций внутри блока и последующем хешировании этих данных, даст хеш меньше определенного числа B. Так как эту задачу можно решить только перебором – требуются очень большие вычислительные мощности для вычисления блока транзакций. После того, как один из майнеров смог добиться успеха – он рассылает свой блок со всеми транзакциями и подобранным числом (proof of work) всем остальным узлам сети.

Другие узлы могут быстро проверить корректность транзакций и правильность подобранного майнером числа и, если все в порядке, считают этот блок верным и сохраняют его, формируя таким образом цепочку блоков (блокчейн). Майнер получает вознаграждение от системы (майнит биткойн). Если же майнер включил в блок неправильную транзакцию (осознанно или нет) – другие узлы сети не одобрят блок, и затраченная майнером работа вместе с вычислительными ресурсами была потрачена впустую. Соответственно, система вцелом поощряет участников быть честными.

Весь биткойн берется как раз из начислений майнерам за правильно и честно выполненную работу, при этом, раз в некоторый период сложность его добычи растет, так как уменьшается число B, а, стало быть, становится сложнее находить необходимое число A. Однажды (уже достаточно скоро), это число станет нулем, и новые биткойны добывать станет невозможно вовсе. Таким образом биткойна может существовать не более определенного количества "монет", что защищает валюту от инфляции.

3 января 2009 года был сгенерирован первый блок и первые 50 биткойнов. Первый обмен биткойнов на реальный товар произошёл 22 мая 2010 года — американец Ласло Ханеч за 10 000 биткойнов получил две пиццы с доставкой. По сегодняшнему курсу эти 10 000 биткойнов стоили бы порядка 200 млн долларов.

Вот именно это и называется криптовалютой – децентрализованная цифровая валюта. А первой из них, преодолев все проблемы централизованных цифровых валют (и превнеся, конечно, другие) стал Bitcoin.

Если что, web3 тут пока еще и не пахнет, но эта информация важна (и, надеюсь, интересна). Stay tuned, как говорится.

Замечания, дополнения, обсуждения и вопросы приветствуются в комментариях 🙂

Web3. База №1. Криптовалюта.

По результатам опроса, у нас тут аж 50% людей как минимум знает, что такое смарт-контракты в Эфириуме! Это очень круто, с одной стороны. А с другой – надо подтянуть остальную половину, чем я и займусь в этом посте. Буду рассказывать базу и дам несколько ссылок для более глубокого погружения, чтобы сильно не растягивать материал новичкового уровня.

Начнем с криптовалют.

А еще лучше, с цифровых валют. Цифровая валюта – это, грубо, база данных счетов и циферок на этих счетах. Плюс сервера и код, который заставляет значения в этой БД меняться при переводах, снятиях и все в таком духе.

Цифровые валюты бывают как привязанными к каким-то государственным (фиатным) валютам, так и нет. Например, золотые монетки в ММО-играх – это вполне себе цифровая валюта, которая ни к чему не привязана. А вот цифровой рубль, который вот-вот запустится у нас в стране – привязан к рублю фиатному, то есть один цифровой рубль всегда может быть обменян на рубль на вашем банковском счету. Или WMZ от когда-то популярной Webmoney – это также цифровая валюта, привязанная уже к доллару.

Непривязанные ни к чему (виртуальные) цифровые валюты нам не интересны, так как они существуют только в рамках своей экосистемы, и никому не нужны вне ее. А вот привязанные – уже более полезны, ведь ими можно обмениваться между собой, обналичивать или совершать на них покупки самых настоящих товаров. И все бы с ними было хорошо, если бы не одно "но" – централизованное управление. Соответственно, пользователи такой валюты должны полностью доверять ее эмитенту (лицу, который занимается ее выпуском, а также обеспечением работоспособности). А он, в свою очередь, имеет полный доступ как к БД, так и к железу и программному коду.

Хорошо ли это? Ну, частично, да. Эмитент может исправлять ошибки в коде, если они есть, блокировать мошеннические транзакции и счета мошенников целиком, осуществлять возврат украденной валюты. Вы всегда можете обратиться к эмитенту с просьбой восстановить доступ к своему счету, если вдруг потеряли его по какой-то причине.

А теперь про минусы. Так как эмитент – царь и бог в рамках экосистемы своей валюты, он может устанавливать любые правила ее использования (обычно в рамках закона, но не всегда). В случае нарушения этих правил (даже непреднамеренного) – ваш счет может быть заблокирован и вот вы уже должны лично явиться со всеми документами в единственный офис эмитента на другом конце страны (или земного шара).

Ошибочно сработала антифрод система – "не забудьте ваш паспорт".
Показалось, что вы злоупотребляете кешбеком – "наш офис работает с 9 до 18".
"Ой, вы просто однофамилец того должника? Списанные средства вернутся в течение месяца".

Или если у эмитента вдруг отзывают лицензию – ваши средства могут пропасть очень и очень надолго. А еще, эмитент может решить подкрутить циферки в базе, чтобы насыпать своей валюты какому-нибудь непростому человеку, что вызовет инфляцию. Про санкции и массовые блокировки счетов по разным интересным признакам даже и говорить не буду.

Для решения этих проблем уже давно происходили попытки создать децентрализованную цифровую валюту. То есть чтобы все то же самое, но без единого центра управления. Чтобы однажды был задан некий набор прозрачных и проверяемых правил такой системы, а дальше оно как-нибудь само все эмитировалось и работало, но никто не мог контролировать (и менять) поведение этой системы.

Очевидно, что раз единого доверенного центра в такой системе существовать не должно, то состоять она должна из множества узлов, которые независимы друг от друга, и нет среди них более или менее доверенных. При этом, каким-то образом все они должны иметь одинаковое достоверное знание о балансе всех счетов в системе и проводимых транзакциях. Задача, в общем-то, весьма непростая.

Предлагались разные подходы, но ни один не мог полноценно решить все возникающие проблемы: двойное использование одних и тех же средств, replay-атаки, DDoS, злонамеренную централизацию системы и многие другие. Десятки лет эта задача не решалась. А именно, до 2008 года.

Пролистал)

Но нет уже тех ощущений, что раньше. Волшебства, такого как в школе, внутри не оказалось. Слишком поверхностно все как-то... Особенно для "лучших статей". Либо просто неблизкие мне темы.

Это "Хакер" уже не тот? Или, может, я?)

Бумажный... Эх, ребята, что-то ностальгия в глаз попала.

@cheeeh получает билет 🎉
https://www.randomresult.com/ticket.php?t=3458349S4TRKFEVFP

https://www.randomresult.com/ticket.php?t=3458349S4TRKFEVFP

Итак, тут появится результат розыгрыша.
Решил не ждеть до понедельника, а открыть через полчаса. Так что в 00.30 узнаем, кому отдам билет)

Осталось 15 минут для того, чтобы поучаствовать в розыгрыше билета на OFFZONE

В общем, я немножко посматривал на зарождающийся еще рынок РУ-бб, устроился на интересную работу, и все было неплохо в целом, но в плане бб – никак. Я, откровенно говоря, скучал по нему, но не видел для себя достойных вариантов.

И тут, читая как-то @webpwn чатик, наткнулся я на этот самый мем) И очень уж мне стало интересно: "Да кто такой этот ваш web3?!" Ну тупо заинтересовало, что же это за $1M, если честно, потому что мой уровень понимания веб3 был на абсолютном нуле. Но я где-то слышал, что крипта – это про биткойн. Короче, начал понемногу читать и разбираться.

В итоге, после нескольких месяцев изучения этой сферы, я осознал вот что:

1. Для меня ломание web3 оказалось намного интереснее стандартного бб. Все дело в том, что для поиска багов в смарт-контрактах нужно уметь читать код и думать. И все. Я, знаете ли, такой ретроград и велосипедостроитель в плане как ИБ, так и кодинга. Не люблю использовать готовые решения, эксплуатировать CVE, пользоваться тулзами, отслеживать новые типы атак. А что я люблю - это придумывать что-то свое, расковыривать в глубину, находить нестандартные подходы. Web3 - это как раз про это. Там есть открытые исходники с одной стороны, и исследователь - с другой. И больше ничего не нужно.

2. Обычный бб - это имхо больше имиджевая история для компании. Надо очень постараться, чтобы вспомнить случаи, когда эксплуатация блэками бага действительно серьезно вредили какой-то компании. Поэтому ценность бб заключается лишь в демонстрации ответственного поведения, а не в том, чтобы действительно защищать продукт от экзистенциальных угроз. Это не плохо и не хорошо, а просто такой факт, который я осознал однажды. Но в web3 все по-другому. Там почти любой medium+ баг - это потеря живых денег или другого имущества, которые очень часто приводят и к полному банкротству компаний, включая потерю клиентских денег. Поэтому ощущение ценности собственной работы в разы выше.

3. Есть множество компаний (хотя и не все), бб-политика которых предполагает нулевое знание персональных данных исследователя. Человек отправляет баг и прикладывает адрес кошелька. Если баг валидный - на этот кошелек переводится баунти. Никто не знает, из какой он страны, какой национальности, чем он (не)известен, что плохого и хорошего он сделал в жизни. Для меня именно такой должна быть бб (как и любая работа, вообще говоря). Потому что это про труд и вознаграждение, а не про политику, бюрократию и субъективные отношения.

Web3 бб - это сложно, но захватывающе и вознаграждающе. Минусов, правда, тоже прилично. Еще расскажу попозже.

Как один мем (возможно) изменил мою жизнь

Первые полгода с того момента, как всех нас выперли с H1 и прочих забугорных площадок, для меня прошли в поиске способов обхода ограничений, чтобы продолжить заниматься бб за хорошие деньги.

Я открыл в Армении компанию, чтобы работать от ее имени, и даже сдал один баг... Но при попытке вывода денег на юрлицо H1 запрашивает налоговую форму, в которой нужно указать бенефициаров юрлица и их гражданства) Плюс, обратил внимание, что в инвайтах, которые присылали моему, уже новому, аккаунту, все так же стояла пометка о том, что резидентам РФ и лицам, находящимся в РФ платить они не будут.

Потом уже, обсуждая это все с коллегами, у меня сложилось устойчивое впечатление, что H1 специально мониторит, чтобы не дай бог ни один ру-хакер не получил ни копеечки. В общем, последние остатки какого-либо уважения и восхищения этой компанией у меня улетучились, и остались только безразличие напополам с отвращением.

Но это все присказка, еще не сказка.

Channel name was changed to «WEB3 bounty PLZ»

Channel photo updated

Пока что вероятность у каждого участника выиграть билет — аж 11%, что неприлично много! Кто ещё хочет бесплатно попасть на OFFZONE — пишите коммент и тоже получите шанс ;)

В формулу я не очень смог, поэтому поменял условия на розыгрыш через randomresult.com 😄