Ende 2024 wird die Ethereum Foundation zusammen mit Sicher, Die Rote GildeUnd Sicherheitsallianz (SEAL), startete die ETH Rangers-Programmeine Initiative zur Gewährung von Stipendien für Personen, die im Ethereum-Ökosystem für die Sicherheit öffentlicher Güter zuständig sind.
Das Ziel des Programms war klar: unabhängige Bemühungen zu finanzieren, die die Widerstandsfähigkeit des Ethereum-Ökosystems stärken, und Menschen zu würdigen, die nachweislich bedeutende Beiträge zu wichtigen Sicherheitsarbeiten geleistet haben, die Ethereum als Ganzes zugute kommen.
Nachdem das sechsmonatige ETH Rangers-Programm nun abgeschlossen ist, möchten wir die Ergebnisse der Arbeit der 17 Stipendiaten mit Ihnen teilen. Die Bandbreite ihrer Ergebnisse ist beeindruckend, von Schwachstellenforschung und Sicherheitstools bis hin zu Aufklärung, Bedrohungsinformationen und Reaktion auf Vorfälle.
Zu den konsolidierten Ergebnissen aller Empfängerinitiativen gehören:
- Über 5,8 Millionen Dollar an Geldern wurden eingezogen oder eingefroren
- Über 785 Schwachstellen, Client-Bugs und Proof of Concepts gemeldet oder katalogisiert
- Ungefähr 100 staatlich geförderte Mitarbeiter wurden in mehr als Teams identifiziert
- Über 209.000 Aufrufe und Nutzer wurden mit Bedrohungsbewusstsein und investigativen Inhalten erreicht
- Über 800 Teams beteiligten sich an gesponserten Sicherheitsherausforderungen und Untersuchungen
- Über 80 Workshops, Vorträge und technische oder pädagogische Ressourcen bereitgestellt
- Über 36 Vorfallreaktionen wurden bearbeitet
- Über 7 Open-Source-Tooling-Repositorys, Frameworks und Implementierungen entwickelt oder verbessert
Diese Ergebnisse des ETH Rangers-Programms zeigen, dass die Sicherung eines dezentralen Netzwerks eine dezentrale Verteidigung erfordert.
Von der Schwachstellenforschung auf Protokollebene bis hin zur globalen Entwicklerausbildung haben diese unabhängigen Forscher eine Infrastruktur aufgebaut, die die Sicherheitseffekte im gesamten Ökosystem vervielfachen wird.
Projekt-Highlights
SunSec – DeFiHackLabs
SunSecmit dem DeFiHackLabs Community, lieferte ein außergewöhnliches Volumen an Sicherheitserziehung und Werkzeugarbeit. Während des Stipendienzeitraums hat DeFiHackLabs:
- Gebaut Vorfall-Explorer Plattform für die Suche und Analyse von DeFi-Vorfällen mit Proof-of-Concept (PoC)-Exploits und Ursachenanalyse, Abdeckung Über 620 PoCs miteinander ausgehen.
- Frosch PoC-Sommerwettbewerb das 43 neue Proof-of-Concept-Einreichungen von der Community erhielt.
- Geliefert sechs Workshop-Sitzungen an der Korea University, wo er sich mit Bug-Kursen für intelligente Verträge, Prüfung und Analyse von Angriffsfällen befasst.
- Partnerschaft mit HITCON CTF (717 teilnehmende Teams), um eine Web3-Sicherheitsherausforderung zu erstellen.
- Hatte sieben Vorträge ausgewählt bei COSCUP 2025das Themen von Phishing bis zur formellen Verifizierung abdeckt.
- Durchführung von CTF-Schulungen, Schreibkampagnen, einem Web3 Security Club und einem Talentempfehlungsprogramm, um White Hats mit Beschäftigungsmöglichkeiten zu verbinden.
Das Ausmaß der Community-Aktivierung ist hier bemerkenswert. DeFiHackLabs fungiert als Multiplikator und verwandelt ein Stipendium in Bildungsergebnisse, die Hunderte von Sicherheitsforschern erreichen.
Ketman-Projekt – Ermittlungen gegen IT-Mitarbeiter in der DVRK
Ein Empfänger nutzte sein Stipendium für den Aufbau und die Skalierung Ketman-Projektkonzentrierte sich auf die Entdeckung und Ausweisung nordkoreanischer (DVRK) IT-Mitarbeiter, die unter gefälschten Identitäten Blockchain-Projekte infiltriert haben.
Während des Stipendienzeitraums:
- Habe Kontakt aufgenommen ca. 53 Projekte und identifiziert rund 100 verschiedene IT-Mitarbeiter der DVRK Betrieb innerhalb von Web3-Organisationen.
- Veröffentlichte investigative Artikel zum Thema ketman.org Das erreichte über 3.300 aktive Benutzer und 6.200 Seitenaufrufe und behandelte Themen wie Taktiken zur Kontoübernahme, Infiltration freiberuflicher Plattformen und Verbindungen zwischen der Demokratischen Volksrepublik Korea und Russland.
- Entwickelt und Open-Source gh-fake-analyzerein GitHub-Profilanalysetool zur Erkennung verdächtiger Aktivitätsmuster, jetzt verfügbar auf PyPI.
- Co-Autor des Rahmenwerk für IT-Mitarbeiter der DVRK mit SEAL, das zu einem Standard-Referenzdokument für die Branche geworden ist.
- Beigesteuerte Daten zum Lazarus.group Threat Intelligence-Projekt, deren Arbeit in einer Präsentation unter vorgestellt wird DEF CON.
Diese Arbeit geht direkt auf eine der dringendsten betrieblichen Sicherheitsbedrohungen ein, denen das Ethereum-Ökosystem heute ausgesetzt ist.
Nick Bax – Incident Response und Threat Intelligence
Nick Bax Wir leisteten an mehreren Fronten einen Beitrag, vor allem durch die Reaktion auf den SEAL 911-Vorfall, die Eindämmung von Bedrohungen in der DVRK und die Sensibilisierung der Öffentlichkeit.
- Hat dazu beigetragen über 36 SEAL 911-Ticketseinschließlich der Unterstützung bei der Loopscale-Exploit Reaktion auf den Vorfall, der zur Folge hatte Rendite von 5,8 Millionen US-Dollar.
- Als Teil eines Teams identifiziert und benachrichtigt Über 30 Teams dass sie IT-Mitarbeiter der DVRK beschäftigten, und koordinierte das Einfrieren von Mitteln im mittleren sechsstelligen Bereich, die diese Mitarbeiter erhalten hatten.
- Erstellt eine Sensibilisierungsvideo über „Fake VC“-Betrügereien in der DVRK das erhielt 200.000 Aufrufe auf
- Identifiziert und offengelegt einen Homoglyphen-Angriff, der von der Bedrohungsgruppe „ELUSIVE COMET“ verwendet wurde, um der Erkennung verdächtiger Namen durch Zoom zu entgehen, was zur Behebung der Schwachstelle führte.
- Vertrat SEAL bei a Runder Tisch des US-Finanzministeriums über Maßnahmen zur Eindämmung von Hackern in der DVRK und sprach auf einer Konferenz unter Interpol-Hauptquartier in Lyon.
Gildenprüfungen – Sicherheitserziehung in Afrika und darüber hinaus
Gildenaudits führte intensive Bootcamps zur Sicherheit intelligenter Verträge durch und bildete die nächste Generation von Ethereum-Sicherheitsforschern aus.
- Bootcamp-Kohorten bildeten Forscher in ganz Afrika, Asien, Europa und Amerika aus, die anschließend berichteten Über 110 Schwachstellen auf großen Audit-Wettbewerbsplattformen, darunter Sherlock, Code4rena, Codehawks, Cantina und Immunefi, wobei mehrere Studenten im Ranking rangieren Top 10 auf Bestenlisten.
- Studenten veröffentlicht Über 55 technische Artikelschlug EIPs vor, wiederholte reale Hacks und führte sie durch Pro-Bono-Prüfungen für Open-Source-Projekte wie Coinsafe und SIR.
- Am 8. November 2025 fanden Guild Audits statt Afrikas erster Web3-Sicherheitsgipfeldie Sicherheitsforscher, Prüfer und Entwickler aus dem ganzen Kontinent zusammenbringt.
Die Auswirkungen der Smart-Contract-Sicherheits-Bootcamps von Guild Audits auf den Kapazitätsaufbau sind erheblich und schaffen eine Pipeline qualifizierter Sicherheitsforscher in Regionen, die in der Ethereum-Sicherheitsgemeinschaft historisch unterrepräsentiert waren.
Palina Tolmach – Kontrol: Verwendbare formale Verifizierung
Palina Tolmach von Laufzeitüberprüfung an der Verbesserung gearbeitet Kontrolleein formelles Verifizierungstool für Ethereum-Smart-Contracts, um das Tool für Entwickler und Sicherheitsforscher zugänglicher zu machen.
Zu den wichtigsten Kontrol-Verbesserungen gehören:
- Verbesserte Klarheit der Ausgabe – sauberere Fehlermeldungen, entschlüsselte Fehlergründe, console.log Unterstützung bei Beweisen und hübsch gedruckte Pfadbedingungen, wodurch die Beweisergebnisse viel einfacher zu interpretieren sind.
- Generierung von Gegenbeispielen – Wenn ein Beweis fehlschlägt, kann Kontrol jetzt automatisch einen ausführbaren Foundry-Test generieren, der den Fehler demonstriert, wodurch die Iterationszeit für die formale Verifizierung drastisch verkürzt wird.
- Strukturierter symbolischer Speicher – automatisierte Generierung typisierter Speicherdarstellungen über eine neue Kontroll-Setup-Speicher Befehl, der die Beweiseinrichtung vereinfacht.
- Umfassende Überarbeitung der Dokumentation – neue Anleitungen zur Bytecode-Überprüfung, dynamischen Typen, Debugging und allen unterstützten Cheatcodes erstellt.
- Lemma-Verbesserungen – Kritische Lemmata wurden für eine bessere automatisierte Argumentation in KEVM hochgeladen, einschließlich der Unterstützung unveränderlicher Variablen und Whitelist-Cheatcodes.
Alle diese Arbeiten sind Open Source unter github.com/runtimeverification/kontrolwodurch die Landschaft der formalen Verifizierungstools für alle Sicherheitsforscher verbessert wird.
DoS-Forschung zum Ethereum-Ausführungsclient
Ein Forschungsteam hat ein Test-Framework entwickelt, um die Robustheit von Ethereum-Ausführungsclients bei Denial-of-Service-Angriffen mit Nachrichtenflut systematisch zu bewerten.
Durch das Testen aller fünf großen Ausführungsclients (Geth, Besu, Erigon, Nethermind und Reth) entdeckten sie 14 Käfer über verschiedene Netzwerkprotokollschichten hinweg. Diese Fehler können zu Folgendem führen:
- Asymmetrischer CPU-Verbrauch – wo ein Angreifer weit weniger CPU verbraucht als das Opfer (in manchen Fällen bis zu vierfache Asymmetrie).
- Weitergabe von Informationen verweigert – wenn ein Opferknoten nicht mehr auf Peer-Discovery- oder Blockchain-Datenanfragen reagiert (betrifft Besu, Erigon und Nethermind).
- Knoten stürzt ab – wo Flooding-Angriffe zu Speichermangelfehlern führen und den Opferknoten zum Absturz bringen (betroffen sind Nethermind, Reth und Erigon).
Die Ergebnisse zeigen, dass kein Ausführungsclient völlig immun gegen Message-Flooding-Angriffe ist und dass weitere Anstrengungen erforderlich sind, um wirksame Gegenmaßnahmen zu entwickeln (z. B. adaptive Ratenbegrenzung). Das Test-Framework und die Ergebnisse wurden mit dem Protokollsicherheitsteam der Ethereum Foundation geteilt, um als Grundlage für die weitere Kundensicherheitsforschung zu dienen.
Weitere Stipendiaten
Der Kürze halber konnten wir nicht alle Empfängerprojekte vollständig beschreiben. Die übrigen Empfänger leisteten einen Beitrag zu einem breiten Spektrum sicherheitsrelevanter öffentlicher Güter:
| Empfänger | Ausgabe |
|---|---|
| Kelsie Nabben | Geschrieben ein Buch basierend auf 2,5 Jahren ethnografischer Forschung zu dezentralen digitalen Sicherheitsgemeinschaften, einschließlich SEAL. |
| Mothra-Team | Gebaut Mothraeine Ghidra-Erweiterung für das EVM-Bytecode-Reverse-Engineering, einschließlich Unterstützung für die EOF-Dekompilierung. Veröffentlichung detaillierter technischer Beschreibungen zum Entwicklungsprozess. |
| SomaXBT | Veröffentlichte eine vierteilige Serie am Blockchain-Forensik und die Krypto-Bedrohungslandschaft, einschließlich Fondsverfolgung, Zuordnungstechniken und OSINT-Methoden. |
| Peter Kacherginsky | Veröffentlicht BlockThreateine Plattform für Blockchain-Bedrohungsinformationen, die vergangene Blockchain-Sicherheitsvorfälle und deren Ursachen analysiert. |
| Angriffsvektoren | Gebaut attackvectors.orgein kontinuierlich aktualisierter Open-Source-Leitfaden, der die wichtigsten Angriffsvektoren in DeFi mit Präventionsstrategien abdeckt. Hat auch zu SEALs beigetragen Wallet-Sicherheits-Framework und wurde SEAL Steward. |
| Tim Fan | Entwickelt D2PFuzzein DevP2P-Protokoll-Fuzzing-Framework mit differenziellem Testen über mehrere Ausführungsschicht-Clients hinweg. Es wurden Fehler sowohl bei Single-Client- als auch bei Cross-Client-Tests gefunden. |
| nft_dreww | Veröffentlichte Sicherheitsartikel, veranstaltete Bildungskurse bei Boring Security und führte Audits zu öffentlichen Güterprojekten von Ethereum durch. |
| Jean-Loïc Mugnier | Entwickelte a Web3-Transaktionssimulation Chrome-Erweiterung das Transaktionen abfängt und simuliert, bevor sie das Wallet erreichen, zusammen mit Simulations-Spoofing-Forschung. |
| Alexandre Melo | Produziert Videos von Sicherheitsworkshops Dazu gehören Fuzzing, Smart Accounts, KI-gesteuerte Prüfung, Solana-Sicherheit und Zero-Knowledge-Proofs. |
| Ho Nhut Minh | Verbessertes CuEVM, eine GPU-beschleunigte EVM-Implementierung mit Multi-GPU-Unterstützung und einer Golang-Bibliothek für die Integration mit Meduse Fuzzer. Benchmarking auf Nvidia H100-GPUs. |
| Sergio Garcia | Gebaut Tracelon-Überwachungsbotein Telegram-Bot zur Echtzeit-Blocküberwachung von Ethereum, Bitcoin und Base mit ERC20-Kontostandsänderungswarnungen. Außerdem leistete er weiterhin einen Beitrag zur Reaktion auf den SEAL 911-Vorfall. |
Blick nach vorn
Das ETH Rangers-Programm zielt darauf ab, Menschen zu unterstützen, die unscheinbare, aber wesentliche Sicherheitsarbeit für Ethereum leisten.
Die Vielfalt ihrer Beiträge spiegelt die Bandbreite dessen wider, was „Sicherheit öffentlicher Güter“ in der Praxis bedeutet. Es geht um mehr als nur das Finden von Fehlern. Es geht auch darum, Werkzeuge zu entwickeln, Menschen zu schulen, Wissen zu dokumentieren, auf Vorfälle zu reagieren und das Ökosystem widerstandsfähiger zu machen.
Durch die Unterstützung der Arbeit zur Sicherheit öffentlicher Güter integrierte das Programm neue Tools, Forschung und Informationen in das breitere Ethereum-Ökosystem. Dieser dezentrale Verteidigungsansatz bietet eine stärkere Grundlage für Bauherren und Nutzer weltweit.
Wir danken allen 17 Stipendiaten für ihre Beiträge und Secureum, The Red Guild und Security Alliance für ihre Zusammenarbeit bei der Durchführung des ETH Rangers-Programms.
