Ce qui vient de sortir et ce qui arrive - nouveaux labs, défis quotidiens et nouveaux chapitres.
19 juillet 2017. La fonction initWallet de Parity restait appelable après le déploiement. Un attaquant l'appelle, devient propriétaire de trois multisigs, et part avec 30 M$. Un contrôle d'accès oublié, trois protocoles vidés. 💀
Juin 2016. La fonction withdraw de The DAO envoyait l'ETH avant de remettre le solde à zéro, et un seul appel récursif a drainé 3,6 M ETH. Le correctif tient sur une ligne. Le hard fork qui a suivi a coupé Ethereum en deux. 💥
Novembre 2017 : devops199 appelle un initWallet non protégé sur la bibliothèque Parity, en devient propriétaire, puis la selfdestructe. Chaque multisig qui la delegatecallait meurt aussi. Voyez la classe de bug derrière avant votre prochain audit. 💣
Mt. Gox a perdu 850k BTC en 2014 et la chaîne se souvient encore de chaque wallet. Apprenez le vrai coût de l'immuabilité, pourquoi les smart contracts l'amplifient, et les quatre propriétés que tout auditeur vérifie en premier. 💸
Pwnify est une application de streaming musical complète, conçue pour s'entraîner au test d'intrusion d'application web. Inscrivez-vous, créez des playlists, uploadez des morceaux, puis enchaînez de vraies failles d'un premier accès jusqu'au flag utilisateur et au root complet. Saurez-vous prendre toute la machine ?
Mars 2023, Euler Finance. Un attaquant a emprunté de la liquidité sans garantie, appelé donateToReserves sur lui-même, et parti avec 197 M$ avant la clôture du bloc. Apprenez le schéma atomique avant votre prochain audit. 💸
Octobre 2022 : Avraham Eisenberg a pompé MNGO sur un pool peu profond, l'oracle l'a cru, et il a emprunté 114 M$. Un tribunal américain a qualifié cela de fraude. Apprenez le pattern de pump avant votre prochain audit. 📈
Juillet 2023 : Curve vidé de 73 M$ via un bug de verrou de réentrance dans Vyper. Slither et Mythril ont validé ces pools pendant des années. Apprenez ce que les outils trouvent, ce qu'ils ratent, et comment lire les findings avant votre prochain audit. 🔍
Octobre 2021, Cream Finance. Un flash loan a gonflé le prix d'une part de vault yUSD, le protocole utilisait ce prix comme oracle, et 130 M$ sont sortis sous forme de garantie surévaluée. La composabilité transforme un bug en bug de tous. 💸
Mars 2022. Lazarus Group a compromis 5 des 9 clés de validateurs Ronin via une fausse offre d'emploi à un ingénieur Sky Mavis. Le multisig 5-sur-9 était échec et mat. Auditez votre bridge avant le même coup. 🔗
Février 2022. La vérification de signature de Wormhole sautait un contrôle non-zero. Neodyme a audité cette fonction même et a manqué ce cas. 120k wETH créés à partir de rien. Apprenez la méthodologie. 🔍
Décembre 2020 : une équipe soutenue par un État vole la boîte à outils red team de FireEye. Le twist ? Aucun zero-day dedans. Découvrez ce qui rend vraiment une red team dangereuse, et le document qui garde toute l'opération légale. 🎯
FireEye a surpris APT29 cachant son C2 dans le trafic Google via domain fronting jusqu'en 2018. Montez la couche de redirecteurs qui mène le beacon des défenseurs vers une impasse. 🌐
Choisissez comment vous voulez commencer
Connectez-vous à votre compte