About Teletype
Join
Fedor Popelev
@popelev
October 11, 2023

Severity. Варианты оценки степени серьезности уязвимостей, используемые в аудиторских отчетах

Вариант оценки 1:

  • Critical - Уязвимости, приводящие к краже активов, блокировке доступа к средствам или к любым другим потерям средств.
  • High - Уязвимости, которые приводят к сбоям контракта и которые могут быть исправлены только путем изменения или полной замены кода контракта.
  • Medium - Уязвимости, нарушающие предполагаемую логику контракта, но не приводящие к потере средств и не требующие замены контракта.
  • Low - Мелкие ошибки, которые можно учесть с целью улучшения общего качества кода.

Вариант оценки 2:

  • High Risk - Проблема ставит под угрозу большинство или значительное количество конфиденциальной информации пользователей или вероятно приведет к катастрофическим последствиям для репутации клиента или серьезным финансовым последствиям как для клиента, так и для пользователей.
  • Medium Risk - Проблема ставит под угрозу часть чувствительной информации пользователей, будет вредной для репутации клиента, если будет использована, или, скорее всего, приведет к умеренным финансовым последствиям.
  • Low Risk - Риск относительно невелик и не может быть злоупотреблен на регулярной основе, или это риск, который клиент считает низким в свете своей деловой ситуации.
  • Informational - Проблема не представляет собой немедленную угрозу, но соответствует лучшим практикам по безопасности или принципам "защиты в глубину" (Defense in Depth).
  • Undetermined - Последствия проблемы неопределены.

Примеры уязвимостей

Critical

  • Манипуляция результатами голосования в управлении, отклоняющаяся от принятого решения и приводящая к непосредственному изменению первоначальных результатов.
  • Прямая кража средств любого пользователя.
  • Прямая кража NFT пользователей .
  • Постоянная заморозка средств.
  • Постоянная заморозка NFT.
  • Несанкционированная чеканка NFT.
  • Предсказуемый или манипулируемый генератор случайных чисел, который можно использовать для изменения результатов в свою пользу
  • Непреднамеренное изменение того, что представляет собой NFT (например, токен URI, полезная нагрузка, художественное содержание).
  • Неспособность протокола соблюсти финансовые обязательства.

High

  • Кража несписанных доходов
  • Кража несписанных роялти
  • Постоянная заморозка несписанных доходов
  • Постоянная заморозка несписанных роялти
  • Временная заморозка средств
  • Временная заморозка NFT

Medium

  • Смарт-контракт неспособен функционировать из-за недостатка средств в токенах.
  • Наполнение блока.
  • грифферство (например, отсутствие финансовой мотивации у злоумышленника, но это несет ущерб для пользователей или протокола).
  • Кража газа.
  • Неограниченное потребление газа.

Low

  • Контракт не способен обеспечить обещанный доход, но не теряет своей стоимости.

Ссылки и источники:

https://swcregistry.io/

https://github.com/sirhashalot/SCV-List#scv-list

Fedor Popelev
October 11, 2023, 10:16
0 views
0 reactions
0 replies
0 reposts