Visão Geral

Curso Blockchain and Smart Contract Security Em 2008, um autor anônimo usando o pseudônimo Satoshi Nakamoto publicou um white paper descrevendo um livro de transações públicas para um sistema descentralizado de pagamento ponto a ponto intitulado Bitcoin: Um sistema de caixa eletrônico ponto a ponto, considerado o "nascimento" da blockchain. Desde então, o uso do blockchain evoluiu além de sua implementação original como uma criptomoeda. Ele ganhou força nos últimos anos, sendo adotado por algumas das maiores organizações do mundo, incluindo IBM, Amazon, PayPal, Mastercard e muitas outras. No entanto, devido à inovação em movimento rápido e à adoção do blockchain, e aos conceitos desconhecidos em comparação com as tecnologias mais compreendidas e tradicionais, seu uso ainda é dificultado pela especulação, confusão, incerteza, e risco.

No Curso Blockchain and Smart Contract Security, você se familiarizará com tópicos essenciais da tecnologia de blockchain e contrato inteligente, incluindo histórico, princípios de design, arquitetura, casos de uso comercial, ambiente regulatório, e especificações técnicas. O curso analisa detalhadamente a mecânica por trás da criptografia e as transações que fazem a blockchain funcionar. Ele fornece exercícios que ensinam como usar ferramentas para implantar, auditar, digitalizar e explorar ativos de blockchain e contrato inteligente. Laboratórios e exercícios práticos permitirão implantar, auditar, digitalizar e explorar várias implementações de blockchain, como Bitcoin, Ethereum, Solana, Cosmos, Near e outras, bem como linguagens de contrato inteligentes como Solidity e Rust, juntamente com protocolos, como NFTs, DeFi e Web3.

Já houve violações generalizadas de segurança, fraudes e hacks em plataformas blockchain, resultando em bilhões de dólares em perdas. Essas questões, juntamente com o crescente escrutínio das agências governamentais para encontrar usuários maliciosos que abusam da tecnologia, estão manchando a reputação da blockchain. O Curso Blockchain and Smart Contract Security, aborda a segurança de blockchain e contratos inteligentes de uma perspectiva ofensiva para informar aos alunos quais vulnerabilidades existem, como são exploradas e como se defender de ataques que atualmente são alavancados hoje. Algumas das habilidades e técnicas que você aprenderá incluem como:

• Interaja e obtenha dados de blockchains públicos
• Explorar vários tipos de vulnerabilidades de contrato inteligente
• Teste e explore criptografia / entropia fraca
• Descubra e recrie chaves privadas
• Entenda o que os criptojackers fazem e como rastrear e rastrear movimentos no blockchain
• Combater tipos de ataques não técnicos ou de engenharia social que os adversários usam para acessar e roubar das vítimas

Podemos ver as muitas soluções que a tecnologia blockchain pode oferecer como um sistema de pagamento, mas como a tecnologia é cada vez mais adotada, sua superfície de ataque continuará a crescer. Embora existam alguns recursos educacionais disponíveis para blockchain, há relativamente pouco conteúdo educacional em torno da segurança blockchain. Nenhum outro treinamento fornece o nível abrangente de testes, exercícios e conhecimentos em blockchain

Objetivo

Após realizar este Curso Blockchain and Smart Contract Security Você será capaz de

• Compilar e implantar contratos inteligentes
• Explorar contratos inteligentes vulneráveis, nós e chaves privadas
• Execute verificações automatizadas de segurança em contratos inteligentes
• Use as mais recentes ferramentas blockchain para desenvolvimento, segurança, auditoria e exploração
• Rastrear e descobrir informações de transações em blockchain
• Configure e proteja uma carteira de criptomoedas
• Quebrar chaves mnemônicas parcialmente expostas
• Enviar transações para blockchain
• Configure uma blockchain Ethereum local para testes
• Junte-se a um pool de mineração de criptomoedas ou crie seu próprio nó de mineração
• Execute análise estática no bytecode EVM
• Interaja com criptomoedas nas redes principais e de teste
• Investigar, instalar e prevenir malware de cryptojacking
• Proteja e defenda contra ataques de privacidade em blockchain

Publico Alvo

• Desenvolvedores de contratos inteligentes
• Desenvolvedores de blockchain
• Engenheiros, arquitetos ou analistas de segurança cujas empresas estão criando aplicativos de blockchain ou contrato inteligente
• Testadores de penetração interessados em expandir seu conjunto de habilidades para tecnologias mais recentes e em começar uma nova disciplina emergente em segurança
• Oficiais de conformidade encarregados de validar e investigar implementações que envolvam blockchain ou contratos inteligentes
• Executivos ou gerentes que estão iniciando projetos que envolvem contratos blockchain ou inteligentes e precisam entender a tecnologia, questões de segurança e mitigações envolvidas
• Funcionários de agências governamentais que desejam expandir seus conhecimentos e habilidades de redes blockchain
• Usuários de criptomoedas que desejam aprender a proteger suas transações, investimentos e privacidade

Pre-Requisitos

REQUISITOS OBRIGATÓRIOS DE HARDWARE DO SISTEMA

CPU: Intel i5/i7 de 64 bits (8ª geração ou mais recente) ou equivalente AMD. Um processador x64 bits, 2,0+ GHz ou mais recente é obrigatório para esta classe.

• CRÍTICO: Os sistemas Apple que usam a linha de processadores M1/M2 não podem executar a funcionalidade de virtualização necessária e, portanto, não podem de forma alguma ser usados ​​para este curso.
• As configurações do BIOS devem ser definidas para ativar a tecnologia de virtualização, como extensões “Intel-VTx” ou “AMD-V”. Tenha certeza absoluta de que você pode acessar seu BIOS se ele estiver protegido por senha , caso sejam necessárias alterações. 
• São necessários 8 GB de RAM ou mais.
• São necessários 30 GB de espaço de armazenamento gratuito ou mais.
• Pelo menos uma porta USB 3.0 Tipo A disponível. Um adaptador Tipo C para Tipo A pode ser necessário para laptops mais recentes. Alguns softwares de proteção de endpoint impedem o uso de dispositivos USB, portanto teste seu sistema com uma unidade USB antes da aula.
• É necessária rede sem fio (padrão 802.11). Não há acesso à Internet com fio na sala de aula.

CONFIGURAÇÃO DE HOST OBRIGATÓRIA E REQUISITOS DE SOFTWARE

• O sistema operacional host deve ser a versão mais recente do Windows 10, Windows 11 ou macOS 10.15.x ou mais recente.
• Atualize totalmente o sistema operacional host antes da aula para garantir que você tenha os drivers e patches corretos instalados.
• Hosts Linux não são suportados em sala de aula devido às suas inúmeras variações. Se você optar por usar o Linux como host, você será o único responsável por configurá-lo para funcionar com os materiais do curso e/ou VMs.
• É necessário acesso de administrador local. (Sim, isso é absolutamente necessário. Não deixe sua equipe de TI dizer o contrário.) Se sua empresa não permitir esse acesso durante o curso, você deverá providenciar para trazer um laptop diferente.
• Você deve garantir que o software antivírus ou de proteção de endpoint esteja desativado, totalmente removido ou que você tenha privilégios administrativos para fazer isso. Muitos de nossos cursos exigem acesso administrativo total ao sistema operacional e esses produtos podem impedir você de realizar os laboratórios.
• Qualquer filtragem do tráfego de saída pode impedir a realização dos laboratórios do seu curso. Os firewalls devem ser desativados ou você deve ter privilégios administrativos para desativá-los.
• Baixe e instale VMware Workstation Pro 16.2.X+ ou VMware Player 16.2.X+ (para hosts Windows 10), VMware Workstation Pro 17.0.0+ ou VMware Player 17.0.0+ (para hosts Windows 11) ou VMWare Fusion Pro 12.2+ ou VMware Fusion Player 11.5+ (para hosts macOS) antes do início da aula.  Se você não possui uma cópia licenciada do VMware Workstation Pro ou VMware Fusion Pro, poderá baixar uma cópia de avaliação gratuita de 30 dias da VMware. A VMware enviará a você um número de série por tempo limitado se você se registrar para a avaliação em seu site. Observe também que o VMware Workstation Player oferece menos recursos do que o VMware Workstation Pro. Para aqueles com sistemas host Windows, o Workstation Pro é recomendado para uma experiência de estudante mais integrada.
• Em hosts Windows, os produtos VMware podem não coexistir com o hipervisor Hyper-V. Para obter a melhor experiência, certifique-se de que o VMware possa inicializar uma máquina virtual. Isso pode exigir a desativação do Hyper-V. As instruções para desabilitar o Hyper-V, Device Guard e Credential Guard estão contidas na documentação de configuração que acompanha os materiais do curso.
• Baixe e instale o 7-Zip (para hosts Windows) ou Keka (para hosts macOS). Essas ferramentas também estão incluídas nos materiais do curso baixados.    

Materiais

Inglês/Português/Lab Prático

Conteúdo Programatico

Blockchain and Smart Contract Fundamentals

Visão geral

A primeira seção do curso começa estabelecendo os fundamentos da tecnologia blockchain e como ela é aplicada aos problemas do mundo real. Também examinaremos a tecnologia de contratos inteligentes e examinaremos exemplos de como ela é aplicada hoje em vários setores e casos de uso do mercado. Os aspectos técnicos mais importantes que compõem a arquitetura blockchain são discutidos, juntamente com exemplos e estudos de caso.

Os alunos irão Apreder:

• Gerar pares de chaves públicas e privadas usadas pelo blockchain
• Crie diferentes tipos de carteiras de criptomoedas
• Mergulhe profundamente nos diferentes mecanismos de consenso, como Prova de Trabalho e Prova de Estaca, que tornam a blockchain um sistema descentralizado
• Aprenda como funciona a mineração de moeda criptográfica
• Investigue o que acontece durante as transações

A seção termina com as classificações comuns de vulnerabilidades e ataques. Esta lição contará com cenários e exercícios para enviar e receber transações em blockchain, e os alunos verão transações ao vivo na cadeia pública por meio de vários exploradores de blocos. Passaremos um tempo aprendendo e usando ferramentas de segurança blockchain que exploram chaves e usuários particulares e cobrem os erros comuns que as pessoas cometem ao usá-los.

Exercises

• Lab 1.1: Use Metamask to Swap on a DeFi Exchange
• Lab 1.2: Brute Force a Mnemonic Phrase to Access a Wallet
• Lab 1.3: Recreate a Key to Investigate Multi-Chain Transactions
• Lab 1.4: Join a Mining Pool and Create a Validator
• Lab 1.5: Use Various Blockchain Clients to Discover Funds
• Lab 1.6 Locate and Exploit an Exposed Private Key

Topics

Blockchain and Smart Contract Fundamentals

1. Origin and Purpose
2. Types of Blockchains
3. Smart Contract Overview
4. Common Use Cases

Blockchain Keys

1. Wallets and Keys
2. Mnemonic Keys (BIP-32/BIP-39)
3. Attacks on Private Keys
4. Case Study: Mnemonic Reconstruction

Blockchain Transactions

1. Block Explorers
2. BTC, EVM, Solana, Monero and other transactions
3. Case Study: Poly Network Hack Transactions

Consensus Protocols

1. Proof of Work
2. Security Issues in Proof of Work
3. Proof of Stake
4. Security Issues in Proof of Stake
5. Other Consensus Types

Blockchain Architecture

1. BTC, EVM, Rust, Golang  Clients, APIs, and SDKs

Blockchain Vulnerabilities and Attacks

• Network and Consensus Security Issues
• Smart Contract and Code Security Issues
• Wallet and Client Security Issues
• Centralization Security Issues
• User Security Issues

Smart Contract Hacking - Solidity

Visão geral

Esta seção do curso se concentra nos aspectos de segurança da plataforma de contratos inteligentes mais usada, a Ethereum. Os contratos inteligentes diferem na arquitetura das cadeias de blocos, como o Bitcoin, devido às suas implementações multiuso. Os desenvolvedores escrevem contratos inteligentes em idiomas como o Solidity, que geralmente contêm bugs e vulnerabilidades. As vulnerabilidades podem ser exploradas na rede principal pública e causar grandes quantidades de danos financeiros e de reputação. Introduziremos a linguagem de programação de contratos inteligentes Ethereum, Solidity, e examinaremos como compilar, implantar e interagir com contratos inteligentes local e remotamente. Também discutimos os padrões comuns de controle de acesso e as bibliotecas de segurança a serem usadas no Solidity. Exploramos como os tokens não fungíveis NFT ( funcionam e as vulnerabilidades exclusivas que podem ser exploradas.

Os alunos irão Apreder:

Depois que os alunos estão familiarizados com o processo de desenvolvimento usando ferramentas como Truffle, Ganache, Brownie, e Hardhat para mergulhar profundamente nas vulnerabilidades comuns do 7thereum e analisar estudos de caso de como elas foram exploradas no passado. Várias ferramentas e scanners, como Slither, Mythril e Remix, são fornecidos para os alunos identificarem e validarem essas vulnerabilidades. Métodos para realizar auditorias de segurança, como verificação formal e execução simbólica, são explicados. Finalmente, depois que os alunos aprendem a identificar uma vulnerabilidade inteligente do contrato, atacem e exploram um contrato inteligente personalizado em uma rede Ethereum criada localmente, implantada pelos alunos.

Exercises

• Lab 2.1: Identifying the Function Exploited on a Contract
• Lab 2.2: Compiling and Deploying a Smart Contract
• Lab 2.3: Exploiting a Vulnerable Smart Contract
• Lab 2.4: Scanning a Contract for Vulnerabilities
• Lab 2.5: Exploiting an NFT Contract to Mint a Coin

Topics

Solidity Basics

1. Solidity Language Overview
2. Storage, Memory, and CallData
3. Function Selectors
4. Interacting with EVM Smart Contracts

Compiling and Deploying Contracts

1. The Solidity Compiler
2. ABI, Bytecode, Gas, and Opcodes
3. Networks and Frameworks for Auditing
4. Deploying a Smart Contract

Smart Contract Security Issues

1. Security Hacks on Ethereum
2. Common Vulnerabilities and Attacks
3. Case Study: The DAO Hack
4. Case Study: The Party Multisig Hack

Auditing and Hacking Solidity Smart Contracts

1. Static Analysis and Symbolic Execution
2. Manual Testing and Formal Verification
3. Security Testing and Auditing Tools

Contract Libraries and Standards

1. ERC Standards
2. Solidity Security Libraries
3. Access Control and Contract Delegation Exploits
4. Case Study: The Poly-Network Hack

NFT Vulnerabilities

1. NFT Vulnerability Categories
2. Case Study: Hacking an NFT Loot Bag

Smart Contract Hacking - Rust

Visão geral

A seção três do curso concentra-se nas cadeias de blocos e contratos construídos com a Rust. Essas cadeias de bloqueio geralmente são sistemas de prova de participação e têm aspectos exclusivos devido à linguagem de programação usada. Introduzimos a linguagem de programação Rust, que é uma linguagem de alto nível com eficiência de memória, e aprendemos sobre as vulnerabilidades específicas do código que podem ser encontradas. Utilizamos ferramentas para ajudar a encontrar bugs exploráveis, como carga. Em seguida, mergulhamos profundamente em tecnologias específicas construídas com ferrugem no ecossistema blockchain, como Solana, CosmWasm e Substrate. Novas vulnerabilidades, como assumir contas, PDAs, SPL e hacks exclusivos baseados em ferrugem são explicadas e demonstradas.

Os alunos irão Apreder:

Depois que os fundamentos técnicos do blockchain são estabelecidos e se familiarizam com os alunos, o curso se baseia nesse conhecimento, com foco em tópicos de segurança escolhidos para sistemas blockchain, como a rede Bitcoin. Os alunos aprendem os princípios de segurança que diferenciam o blockchain dos sistemas de tecnologia tradicionais e começam a descobrir algumas das fraquezas de um sistema blockchain e como são atacados.

Exercises

Lab 3.1: Web Application Hacking with Rust

Lab 3.2: Substrate Exploit - SANS Kitties

Lab 3.3: Exploiting Solana Account Type Confusion

Lab 3.4: Setup and Interact with a Local CosmWasm Blockchain

Lab 3.5: Compile and Deploy a CosmWasm Smart Contract

Lab 3.6: Exploit a Vulnerable CosmWasm Smart Contract

Topics

Rust Overview

• What is Rust
• Rust Security
• Rust Developer Tools

Substrate

• Substrate Architecture
• Substrate Vulnerabilities

CosmWasm

• What is CosmWasm?
• CosmWasm Architecture
• CosmWasm Tools and Chains
• CosmWasm Vulnerabilities

Solana

• Solana Architecture
• Proof of history
• PDAs and SPLs
• Solana Security Issues
• Solana Programs

Exploiting DeFi Protocols

Visão geral

Ao longo da seção quatro do curso, você aprende sobre a maneira inovadora e única de os contratos inteligentes democratizarem os serviços financeiros. O DeFi é um ambiente complexo de componentes entre trabalhos. Passamos pelos protocolos DeFi mais relevantes que compõem esses componentes, a terminologia e como eles operam. Os protocolos discutidos são DEXs, fabricantes automatizados de mercado, plataformas de empréstimos e empréstimos, moedas estáveis, derivativos, fazendas de rendimento, oráculos e mercados de previsão. Cada um desses protocolos DeFi possui tipos de ataque exclusivos que combinam exploração econômica e baseada em código. Ataques por meio de empréstimos instantâneos, manipulação de oráculos e propostas de governança são discutidos, com exemplos. Esta seção é mais sobre a lógica de negócios do que sobre as ferramentas ou plataformas, e usamos vários laboratórios que exploram os protocolos DeFi em várias cadeias de bloqueio diferentes.

Exercises

• Lab 4.1: Exploit a Vulnerable AMM
• Lab 4.2: Perform a Flash Loan Attack
• Lab 4.3: Deploy and Interact with a Chainlink Oracle
• Lab 4.4: Perform a Governance Attack on EVM
• Lab 4.5: Exploit a Yield Farm on Solana

Topics

The Concepts, Benefits and Risks in DeFi

1. DeFi vs. CeFi
2. Protocols Overview
3. Environmental Risks and DeFi Attacks
4. Security Incident Timeline

Decentralized Exchanges (DEX)

1. Key Terminology
2. Automated Market Makers (AMMs)
3. Aggregators
4. DEX Issues and Exploits
5. Case Study: DEX Liquidity Pool Hack

Lending and Borrowing

Key Terminology

1. AAVE and Compound Protocols
2. Issues and Risks
3. Flash Loans
4. Case Study: Flash Loan Attack

Stable Coins, Derivatives, and Synthetic Assets

1. Types of Stable Coins and Derivatives
2. Security Risks
3. Case Study: Terra  UST and Luna Collapse

Governance and Oracles

1. Oracle Purpose and Designs
2. Oracle Attacks
3. Governance Overview and Key Terms
4. Governance Attacks
5. Case Study: Beanstalk Farms Malicious Governance

Emerging DeFi Protocols and Risks

1. DEX Aggregators
2. Prediction Markets
3. Decentralized Insurance
4. Yield Farms and Yield Aggregators

Cross-Chain, Defense, and Compliance

Visão geral

Iniciamos esta seção do curso analisando vulnerabilidades comuns de cadeia cruzada e pontes. Esses são componentes críticos da infraestrutura que são constantemente atacados e têm alto valor e impacto. Discutimos os adversários no blockchain, os padrões que eles usam para atacar e roubar fundos e definimos uma estrutura para esses padrões para nos ajudar a nos defendermos.

Em seguida, examinamos algumas das ferramentas usadas para monitorar e proteger contratos inteligentes. Você analisa como a privacidade, o anonimato e a identidade pessoal podem ser comprometidos se um usuário de blockchain não for autenticado e como proteger novamente esses problemas. Por fim, examinamos como o blockchain é usado com malícia e o cenário regulatório e de conformidade atual do blockchain e algumas ferramentas usadas.

Também mergulhamos profundamente em como a privacidade pode ser comprometida e usada por adversários ou agências governamentais para monitorar e identificar a atividade do usuário. Os mercados líquidos escuros têm sido um dos usos mais notórios de criptomoedas, e esta seção do curso também fornece informações sobre como esses mercados diferem da Internet normal e por que são usados para fins ilegais. Também examinamos a criptografia de privacidade como Monero, bem como os regulamentos impostos pelas agências para impedir atividades criminosas.

Exercises

• Lab 5.1: Crash a Cross-Chain Bridge
• Lab 5.2: Detect a Front-Running Attack
• Lab 5.3: Verify a Smart Contract with Tenderly
• Lab 5.4: Monitor a Wallet for Malicious Activity Using Forta
• Lab 5.5 Install a Crypto-Miner Malware Agent
• Lab 5.6: Use OSINT to Discover Hidden Bitcoin Funds

Topics

Cross-chain

1. What is Cross-chain?
2. Bridges
3. Cross-chain and Bridge Vulnerabilities
4. Case Study: ThorChain Vulnerabilities in the BiFrost
5. Chain-bridge

Blockchain Threats and Adversary Tactics

1. Blockchain Threat Actors
2. Case Study: Rug Pull Anatomy
3. ATT&CK Matrix for DeFi
4. Tornado Cash and Money Laundering

Blue Team for Blockchain

1. Incident Response Process Overview and Key Terms
2. Tools for Defending DeFi

Attacks on Privacy

1. Blockchain-Based Attacks
2. Non-Blockchain-Based Attacks
3. Defenses for Privacy

Malicious Uses of Blockchain

1. Ransomware and Crypto-Lockers
2. Case Study: WannaCry Ransomware
3. ICO Scams, and Ponzi Schemes
4. Case Study: PlusToken
5. Crypto-jacking
6. Case Study: CoinHive

Regulatory Compliance and Investigation

1. The Current Regulatory Environment
2. TOR, Monero, and Dark Net Markets
3. Case Study: Operation Disruptor
4. OSINT and Blockchain Forensics
5. Monero