专题研究N447:区块链项目Consensys Diligence
专题研究N447:区块链项目ConsenSys Diligence
按:国外区块链发展动态系列,主要采用TWITTER上热门和著名人物或公司发布的资讯内容;本集研究ConsenSys 六大产品线战略项目其二ConsenSys Diligence,@ConsenSysAudits;我们帮助开发人员构建安全的区块链和智能合约应用程序。
制造商
@mythx_platform
。
我们正在招聘:https://consensys.net/open-roles/2228376/,
diligence.consensys.net,2017年6月 加入,
27 正在关注,
1,449 关注者;
置顶推文:是你的#blockchain代码安全吗?指向左面的放大镜预定抽查。https://pages.consensys.net/diligence-1-day-spot-check?utm_campaign=ConsenSys%20Diligence&utm_content=133972927&utm_medium=social&utm_source=twitter&hss_channel=tw-880544504750764032,上午5:04 · 2020年7月10日
最新的#EthDenver勤奋设计#bounty经过
@CaitlynL96,
提交您的设计的最后几天,有机会赢取高达$ 500的奖金和一件带帽衫的设计:
https://forms.gle/EXemTKtSWBrRx6pY7
其他#EthDenver勤奋设计#bounty经过
@Rodrigo51420461,
提交您的设计有机会赢取$ 500美元和一件连帽衫的机会:
https://docs.google.com/forms/d/e/1FAIpQLSdecBQwmC3WajP1V9myrGDOnrAWl4gSXWhcq53IEm-LfNQlSg/viewform
的另一项提交#EthDenver勤奋设计#bounty刚来
@Rodrigo51420461
”
@ConsenSysAudits
,将人的洞察力与自动化相结合的力量”
请务必提交您的设计,以便有机会赢得500美元的赏金,并为您的设计赢得连帽衫!
软件包tarantula-fl和vscode-tarantula是第一个允许您对智能合约进行故障定位的软件包! 我刚刚发表了一篇介绍两者的文章!https://consensys.net/diligence/blog/2021/02/fault-localisation-with-tarantula/
首次提交#EthDenver勤奋设计#bounty刚来
@annbrody7
。
还有几天时间提交您的设计,就有机会赢取高达$ 500的赏金。
鼓励多次提交:https://forms.gle/WZ2MDcJGKMrF9b727
如果你玩得开心
@paradigm
周末CTF,考虑加入获胜队伍!我们正在招聘!
的安全审核员
@Consensys
:https://grnh.se/202b9a381us
Quilt的高级软件工程师(
@ConsenSysMesh
研发;D团队):https://grnh.se/7e2074a41us,
这是一个团队的努力,这要归功于所有伟大的思想家们对Dilicious体验的参与:
@smarx
@wolflo0
@adietrichs
@lightclients
@SamWilsn
@sbetamc
@GNSPS
@wadeAlexC
@lethalspoons
@joranhonig
@vwuestholz
@jack_clancy93
上午5:56 · 2021年2月9日
EthDenver ConsenSys Bounties出局了!
对于所有在那里的设计师和季节性编码员,在周末可以赚一些钱。
高达$ 8500的赏金:
https://ethdenver.com/post/consensys
因此,您正在寻找审计,但是所有审计员都被预订到5月?
我为您提供解决方案!🎉
* 查看https://docs.scribble.codes。
为合同写属性。
将Scribble的徽章放入您的自述文件中。
* DM我,我们将免费为您提供36小时模糊报告。
加入我们, @GNSPS @joranhonig , 明天1月7日19:45 CET在Hello Security会议上举行的技术研讨会:Scribble作为一种语言和工具来编写更安全的智能合约。
这不是“适当的”正式验证,而是 @ConsenSysAudits 刚放出涂鸦:https://docs.scribble.codes 这是开发人员友好的自定义属性验证方法!一探究竟!
我们对Scribble超级满意,希望您也是如此! 这就是为什么我们只为GitCoin赠款贡献了5 ETH以资助Scribble开发的赏金!
@ConsenSysAudits,
我们刚刚发布了一个新工具(称为ScoopyDoo 😂 )在您的浏览器中本地工作,以生成指标报告,供我们在对项目进行范围界定时使用!
它有很多有用的信息!
在下面看一下,并尝试一下:
https://consensys.net/diligence/local-metrics-tool
今天,我们介绍Scribble,这是一种规范语言,可以将高级规范转换为实体代码。在此处了解更多信息:https://consensys.net/blog/news/introducing-scribble-by-consensys-diligence/?utm_content=148436565&utm_medium=social&utm_source=twitter&hss_channel=tw-880544504750764032
我正在https://gitcoin.co/grants/1748/scribble-specifications-and-runtime-verification-f…上验证我对Gitcoin赠款的Scribble规范和运行时验证基金的所有权。
最新消息,黑客和安全性进展#DeFi,#SmartContracts ,以及整体#Ethereum区块链事件,最近发表了许多研究论文和文章。
抓住它
未来最好的安全措施就是投票。
从 @trufflesuite 的智能合约库 @infura_io 的API套件 @ConsenSysAudits 安全工具,以太坊开发人员能够通过全栈工具和安全集成来构建和启动DeFi协议
安全PSA 任何人都可以在Telegram中创建支持渠道,这使身份验证变得困难。匿名电报聊天是网络钓鱼者的主要攻击目标,因此请当心。
感谢我们的赞助商,奖池中有惊人的奖品!总共有5种奖品,第一名的获奖者将能够首先从奖池中进行选择(依此类推)。赢得机会看起来仍然不错!
@ConsenSysAudits
@OpenZeppelin
@SolidifiedHQ
检测您的智能合约不必要的所有权转让。
传达节点的对等地址和身份的方法有多种。 multiaddr,enode和ENR是在以太坊网络堆栈中使用的。在本文中,我们将阐明它们。
安全在我们的空间中至关重要。语言,无论是否有意识地,都会驱动最佳(或最差)开发实践。
智能合约的完整,更具竞争性的语言环境对于生态系统而言是健康的,并加快了语言社区的重要发展。我们张开双臂欢迎。
一个非常好的演讲 @sbetamc 从 @ConsenSysAudits 关于甲骨文。在这里观看:https://crowdcast.io/e/liquidity2020summit/71
我们的安全工程师之一,
@lethalspoons
刚刚发布了一个攻击框架,该框架使扫描以太坊节点中的漏洞变得更加容易!看看,玩耍,然后打他
@lethalspoons
关于涵盖其他向量的绝妙想法!
ConsenSys自己的优秀“ Eth2新增功能”资源 @benjaminion_xyz 本周2岁。如果您还没有跟进,那么现在该赶快上手了:http://eth2.news。
我们最近发布了一个名为ETHover的新VSCode扩展,用于与一些非常多汁的功能进行交互。
1.右键单击ETH地址,以将经过验证的源拉到新窗格中:2.您也可以下拉字节码:3.您可以反汇编字节码:.如果源代码不可用,则可以对其进行反编译:详细信息在这里:https://consensys.net/diligence/blog/2020/08/actionable-smart-contract-addresses-for-vscode/,@ConsenSysAudits
·
2020年9月8日
MetaMaskMobile已正式启动!恭喜大家
@metamask_io
团队。上午3:53 · 2020年9月4日
在过去的几周中,发生了很多事情#DeFi不可能再跟随的世界。我们最新的新闻通讯概述了我们的雷达所捕获的一些上升和下降以及异常事件。
彼得·卡彻吉斯基(Peter Kachergisky)在2020年的《区块链安全状况》上发表了非常有趣的主题演讲。https://www.youtube.com/watch?v=w7UxYyuYY9w&feature=youtu.be&utm_campaign=ConsenSys+Diligence&utm_content=138603438&utm_medium=social&utm_source=twitter&hss_channel=tw-880544504750764032
本周:未驯服的DeFi(Yam,CRV,BASED),以太坊节点更新,DEFCON安全模式区块链村等等。
在此基础上,将仔细研究其中的一些特质以及建议的安全模式列表#Ethereum。乡亲们要保持敏锐,
Eth2指日可待,但是它是如此复杂,以至于需要进行更多的压力测试。在此存储库中,您可以找到多客户端和单客户端攻击网的配置以及如何浏览这些项目。
我们的留置权协议审核的6个安全建议,
1个⃣改善文档和代码注释
2 ⃣考虑一种迭代的启动方法
3 ⃣注意并为最坏的情况做准备
4 ⃣在自述文件中记录如何运行测试
5 ⃣修复测试失败
6 ⃣扩展测试套件
下午10:49 · 2020年8月17日
在项目中使用Surya的最简单方法是通过VSCode的Solidity Auditor扩展:https://github.com/ConsenSys/vscode-solidity-auditor
智能合约安全永远是mStable的头等大事。
我们聘请了世界领先的审计公司
@ConsenSysAudits
进行全面审核。
在审核过程中未发现任何相关问题💪
背景和完整报告:https://medium.com/mstable/contracts-complete-audit-with-consensys-diligence-4a8fc5c05482
我们与
@LienFinance
可能会在五月份审查他们的智能合约系统。这是我们的安全建议的快照。认为这些对其他团队可能会有帮助。查看我们的全面审核,以进行更深入的分析和更多安全提示:https://bit.ly/33JjAsN
使用Visual Studio Code为开发人员和审计人员定制的以太坊整合语言 @ConsenSysAudits https://bit.ly/2PorcZp
我们很高兴看到最近在评估和比较不同项目的安全性(特别是在#DeFi)。
去年,我们发表了一篇论文,将对区块链的前端攻击进行了系统化,这是SBC19上的一段视频
区块链前端攻击的分类法。 https://bit.ly/3ffJZAD
我们的区块链安全数据库是一个开放源代码(机器可读)的区块链项目安全信息数据库,其中包含有关过去审核,赏金计划和安全联系信息的信息。
https://consensys.github.io/blockchainSecurityDB/
作为审核员,我们想提供帮助,但是为了真正使开发人员真正优先考虑安全性,用户需要开始提出棘手的问题,并将资金投入可以深思熟虑地回答问题的协议中。
网络研讨会视频
@vwuestholz
在Harvey上,我们的灰盒模糊测试工具非常适合测试复杂的智能合约系统。接触
@ConsenSysAudits
如果您希望自定义属性验证成为下一次审核的一部分。https://youtu.be/yZfi6pIgJ2k
在“完全明显的事情值得时不时提醒”部门中,您不应将机密信息发布到GitHub。
任何经营#DeFi协议,要有很多钱,就应该有一个赏金计划。
对于才华横溢的黑客,有很强的经济动机来进行攻击。制定赏金计划可产生财务诱因来报告漏洞,而不是加以利用。
.并且我们的区块链安全性数据库提供了该空间中收入最高的奖励的便捷列表: https://consensys.github.io/blockchainSecurityDB/
审计不是万灵宝,并非所有审计都是平等的,但这对于任何DeFi合同在部署之前都是至关重要的一步。
这是常识。我们可以使用的服务越多(例如由
@ConsenSysAudits
)和工具🛠️可供我们用来识别和防御攻击媒介的人们越有信心与新兴的开放式金融生态系统互动。
Twitter God模式是治理令牌的安全隐患,它是ChainLink的欺诈行为,是对生命的终极问题的答案-所有这些都在我们的新闻通讯中。如果您喜欢此通讯,请与您的朋友分享,或要求他们在此处注册Smart Contract Security通讯:
想知道如何戳#Ethereum节点还是可以在您的终端机上轻松读取智能合约存储?
信标链的安全性对于Eth2的成功及其第一阶段的顺利启动至关重要。我们在 @ConsenSys 很高兴通过以下方式为跨生态系统工作做出贡献 @ConsenSysAudits 。
在新兴技术中,安全事件是不可避免的。至关重要的是,DeFi应用程序必须制定对冲策略,审计服务是一个不错的起点
我们很荣幸 @ethstatus 要求我们担任该项目的负责人,并很高兴与我们一起工作 @NCCSecurityUS 和 @trailofbits 在这个重要的项目上。
过程
@ethstatus
为该项目设计的是与“编写大量代码然后进行大量审核”的区块链安全现状急需的偏离。
我们将不断记录和分享见解,以帮助社区从实验中学习。下午9:41 · 2020年7月15日
智能合约安全性原则5:了解EVM的特性。
在此基础上,将仔细研究其中的一些特质以及建议的安全模式列表#Ethereum。乡亲们要保持敏锐。
@Consensys 有一个公共的不和谐服务器。 进入勤奋渠道即可直接获得我们的精英知识。
上个月,还有500个🖥️已安装Diligence的VS代码的Solidity Visual Auditor扩展。#SolidityVisualized,
https://marketplace.visualstudio.com/items?itemName=tintinweb.solidity-visual-auditor
我们与
@LienFinance
可能会在五月份审查他们的智能合约系统。这是我们的安全建议的快照。认为这些对其他团队可能会有帮助。查看我们的全面审核,以进行更深入的分析和更多安全提示:https://bit.ly/2YQqZUl
您是否认为自己是聪明的合约黑客?还是您认识某个可能是的人?好消息,我们正在招聘。 https://boards.greenhouse.io/consensys/jobs/2228376
区块链安全数据库是由以下人员创建的开源数据库 @ConsenSysAudits 充当项目组织的安全信息的存储库。 https://consensys.github.io/blockchainSecurityDB/… 引用推文
注册📥接收来自世界的更新#Ethereum智能合约安全。https://diligence.consensys.net/newsletter/
在上构建dapp #Ethereum是当今软件工程师最激动人心的领域,但需要保持警惕女侦探。每个聪明的合约开发人员在编写代码时都应牢记以下几点写字的手并发布版本。
今天,我们开源了我们的区块链安全数据库。
该数据库是按项目组织的,并收集了我们可以找到的所有审核报告,赏金计划和安全联系信息:
https://consensys.github.io/blockchainSecurityDB/,
我们不认为要对每个项目的安全性方法做出判断是我们的职责,但是我们掌握了一些此类信息,并希望将其作为公共资源提供。
如果您是赏金猎人,则可以轻松找到最大的潜在收益:如果您想处理和分析数据,我们特别希望为您提供方便,那么所有内容均按项目组织到JSON文件中:https://github.com/ConsenSys/blockchainSecurityDB/tree/master/project,
如果我们错过了您的项目的一些信息,我们很乐意为您提供问题和PR。 如果您想在此处添加更多信息(奖励支出或事件报告?),请告诉我们。@ConsenSysAudits
·
2020年6月17日
在“完全明显的事情值得不时地被提醒”的部门中,您不应将秘密#GitHub。有恶意机器人机器人的脸扫描GitHub上传的私有密钥和种子短语。放聪明点!
注册以接收更新🗞️来自🌍的世界#Ethereum#SmartContract安全。https://bit.ly/2MLW1Gc
截至上个月,我们已经完成了公共审核 查看@lien_protocol的最新信息, @BalancerLabs 和 @AaveAave 。
经济攻击和可组合性风险,令牌集风险,阿里巴巴的证券安全#SmartContracts,#Github加密机器人🤖, 和更多。
不能说得更好, @muellerberndt 。 由制造 @ConsenSysAudits 。 @ 1000000Devs
在Uniswap攻击发生前几乎正好一年,我们确定并发布了ERC-777再入攻击媒介。尽管有这些🌊发生的安全事件#DeFi协议,该行业绝大多数➕关于机会#Ethereum。
专家提示⭐:#DeFi协议团队需要进行详尽的用户研究和智能合约审核,特别是因为他们看到数量增加时。好消息是我们为您提供1 ⃣日安全审查😏
我们同意。查看我们当天的安全性评论。熟练的安全工程师精心安排优先级,可以在有限的时间内完成很多工作。 https://diligence.consensys.net/blog/2020/03/new-offering-1-day-security-reviews/
一些国内媒体相关补充资料
2020年03月16日 星期一
04:21 ConsenSys Diligence联合创始人:对于DeFi来说 快速贷款可能会带来比预期更大的风险
据AMBcrypto 3月15日消息,ConsenSys Diligence联合创始人GonçaloS表示,对于快速贷款,一些安全假设完全被打破了,快速贷款可以被用来破坏DeFi协议。他接着补充说,在某种意义上,这些可能已经发生了。有些鲸鱼有能力实施这样的攻击,但这样做有名誉风险。但是,GonçaloS也指出,尽管仍然存在此类漏洞,但社区已做出积极响应并采取了积极措施,防止此类攻击再次发生。
ConsenSys Diligence推出区块链项目安全审计数据库,该数据库为开源,基于项目展示相关的安全审计信息,包括审计、赏金和合约仓库列表,所有项目数据均存储在JSON文件中。该数据库目标是为用户聚合区块链安全性数据,而非保证任何特定项目的安全性。