Web2ハッキングからWeb3ハッキングへのレベルアップをどうするか?
{1}
何事もそうですが、高度なものに飛びつく前に、しっかりとした基礎が必要です。
まずはイーサリアムの仕組みについて読んでおくことをおすすめします。
…
これでイーサリアムの内部構造の概要がよくわかると思います。
{2}
すべてのEthereum DAppsはスマートコントラクト(SC)に依存しています。
その内容や書き方を知ることは、バグ発見への大きな一歩となる
SolidityはSCに最も人気のある言語であり、@ProgrammerSmartはこの言語を学ぶための素晴らしいリソースを作成しました。
{3}
素晴らしいウェブサイトとは別に、彼は様々なSolidity/Security/DeFiのトピックに関するYouTubeビデオも作成しています。
チェックする価値はありますよ。
言語を学ぶだけでなく、アプリケーションの状況やDeFiとは何なのかを知ることも重要です。
{4}
DeFiアプリは、イーサリアムベースのアプリケーションの中で最も人気のあるものの1つです。
それらがどのようなもので、どのように機能するかを知ることは、バグを発見するのに役立ちます。
このトピックについて詳しく知るのに最適なリソースの1つが
@finematics
です。
こちらもご覧ください
@officer_cia
{5}
アプリケーションの壊し方を見たり学んだりする最も楽しい方法の1つは、CTFをクリアすることです。
Web3は、この点についてもカバーしており、チェックする価値のあるCTFが複数用意されています。
1.
2.
3.
https://ethernaut.openzeppelin.com
2.
https://capturetheether.com
3.
Challenges to learn offensive security of DeFi smart contracts
その知識と練習ができたら、次のステップとして、様々なハック/バグに関する記事を読むことをお勧めします。
@adrianhetman
いつも面白いことを書いているし、監査報告書のほとんどを公開している。
このような監査報告書を読むことは、知識の宝庫である
{7}
バグハンターはテスト用デバイスや環境を持つことが必須です。 基本を学ぶ価値があるのは
@HardhatHQ と @BrownieEth です。
これらがなければ、独自のPoCを書くことはできません。
Web3.js/Web3.pyパッケージを使いこなし、Ethereumのクエリやトランザクションを簡単に操作できるようにする。
{8}
あなたのワークフローを改善し、あなたを助けることができる興味深いセキュリティツールのいくつかを紹介します。
1. Solidity Visual Developer
2. Surya
3.
4.5. seth
http://ethtx.info
4.
GitHub - dapphub/dapptools: Dapp, Seth, Hevm, and more
{11}
このような知識と練習を積んだ上で、次のようなバグバウンティプラットフォームにバグを提出する準備が整いました。バグレポートの正しい書き方を知りたい方は、@immunefiがカバーしています。 .
{12}
ブロックハッキングの始め方を説明した素晴らしい記事がもう一つあります。ぜひ読んでみてください。
ブロックチェーンをハックする。究極のガイド
{13}
このスレッドがお役に立ち、Web3セキュリティへの第一歩を踏み出すことができれば幸いです。