Аудит смарт-контрактов

ЗАПРОСИТЬ ЦЕНУ

Анализ и проверка спецификаций и исходного кода смарт-контрактов

Ваши смарт-контракты могут содержать скрытые уязвимости, которые могут привести к потере денег или прерыванию бизнес-операций. В мире блокчейн даже мелкие проблемы безопасности негативно влияют на репутацию и инвестиционные решения.

Защитите ваши блокчейн-решения, устраните дорогостоящие ошибки, оптимизируйте ваш код и дайте гарантии надёжности вашим пользователям и инвесторам. В результате вы увеличите доверие блокчейн-сообщества к вашим проектам и обеспечите их стабильный рост. 

Наши сертифицированные эксперты построчно анализируют безопасность ваших смарт-контрактов, находя их уязвимости и другие недостатки. Мы разрабатываем рекомендации, которые защищают ваши смарт-контракты и ваш бизнес.

Пожалуйста, прочитайте введение в безопасность смарт-контрактов. Узнайте больше о проблемах, которые мы решаем, о методах и инструментах, которые мы используем, и о результатах, которые мы предоставляем.


Проблемы смарт-контрактов

  1. Несоответствие между спецификацией и реализацией.
  2. Недостатки дизайна, логики и контроля доступа.
  3. Переполнение при арифметических операциях (целочисленное переполнение).
  4. Атаки повторного входа, атаки внедрения кода и атаки типа «отказ в обслуживании».
  5. Превышение лимита использования байт-кода и газа.
  6. Майнерские атаки на метки времени и порядок транзакций, зависимость порядка транзакций (TOD).
  7. Условия гонки, а также другие известные атаки и нарушения управления доступом.
?
Подробнее об уязвимостях
  • Общие и специфичные для платформы уязвимости:
  • Неправильная стандартная реализация
  • Целочисленное переполнение
  • Атака на стек вызовов
  • Зависимость от метки времени
  • Зависимость от свойств блока
  • Ошибка мультиподписи 
  • Зависимость от порядка транзакций
  • Уязвимости функций вызова
  • Безопасность бизнеса
  • Безопасность событий 
  • Атака повторного входа
  • Уязвимости генератора псевдослучайных чисел
  • Уязвимости DoS
  • Поддельный депозит
  • Реализация вестинга токенов
  • Ошибочная смена состояния
  • и другие (100+ уязвимостей)
  • Распространенные уязвимости кодирования на Solidity и других языках:
  • Дополнительный расход газа
  • Неявный уровень видимости
  • Дорогостоящие циклы
  • Использование модификатора видимости public вместо external
  • Устаревшие модули
  • Использование fallback функций
  • Переопределение переменных
  • Избыточный код
  • и другие
Изображение - Аудит смарт-контрактов

Требования к аудиторам смарт-контрактов

  • Целью аудита смарт-контрактов является тщательный анализ кода для выявления недостатков и уязвимостей.
  • Аудит безопасности проводится с использованием сочетания ручных и автоматических инструментов и методов для выявления и моделирования эксплуатации уязвимостей в их целевой среде.
  • Тесты проводятся командой специалистов с опытом работы в различных областях информационной безопасности с 2002 года, обладателями сертификатов CISSP, OSCP, CISA и CEH.
  • Анализ кода следует рекомендациям Solidity Style Guide и Ethereum Smart Contract Security Best Practices.
  • Классификация уязвимостей соответствует DASP Top 10, SWC Registry и CWE/SANS Top 25.
ЗАПРОС ЦЕНЫ

Этапы аудита

  • Проверка документации.
  • Детальный анализ кода смарт-контракта, функциональности и логики его работы, криптографии, сторонних модулей и структуры библиотек.
  • Анализ специфических кейсов: Web security, Social security, Token/smart-contract OSINT, Signs of Risk, Signs of Confidence.
  • Ручной поиск слабых мест функций, разработка векторов атак, написание тестов для их реализации.
  • Автоматическое сканирование исходных файлов для поиска несоответствий лучшим практикам безопасности смарт-контрактов.
  • Проверка результатов сканирования, определение ложных срабатываний инструментов и реальных уязвимостей, которые могут повлиять на безопасность приложения.
  • Разработка рекомендаций по устранению найденных недостатков и оценка рисков.
  • Проверка внедрения рекомендаций.
  • Выдача публичного сертификата об успешном прохождении аудита.

Мы аудируем

?
Список платформ, которые мы поддерживаем
  • aelf, Aeron, Aeternity, AION, Algorand, Ambrosus, AnycoinDirect, Arcona, Ardor, Ark, Asure, Auctus, Augur, Aurum, Avalanche, BILLCRYPT, Bithemoth, Block Collider, BNB Beacon Chain (BEP2), BNB Smart Chain (BEP20), BnkToTheFuture, Cardano, Casper, Centrality, ChangeNOW, ChiliZ, ConsenSys Quorum, Cortex, Cosmos, COTI, Cronos, Cryptonex, CyberMiles, Dapp Fight, Dapps, Disciplina, Dogezer, Earths, ECROFund, Elastos, Electrify Asia, Enigma, Enjin Coin, Enkronos, EOS, стандарты Ethereum ERC-20 – ERC-4626, Etherparty, Fantom, Fluence, FReeStart, Funfair, Gimli, Gnosis, GoByte, GXChain, HECO, HoloChain, I-chain, ICON, IExec, Ignis, Internxt, INTRO, Ion, IOStoken, JUST, Klaytn, Komodo, Lisk, Loom Network, Loopring, MaidSafeCoin, Mainframe, Maker, Metaverse ETP, Morpheus Network, MVL, NAV Coin, Near, Nebulas, NEM, Neo, Nimiq, NIX, Nuls, NXT, OEL Foundation, OmniBazaar, ONT, Ontology, Opporty, OpuLabs, ORIS.SPACE, Papusha, Polkadot, Polygon, ProximaX, Qtum, QuarkChain, QUOINE, RChain, Red Pulse, RepuX, Request Network, Revain, Scorum, Siacoin, Skycoin, SmartMesh, Solana, Stellar, Stream, Swarm city, Syscoin, Taklimakan, Tezos, Theta, TON, Trivver, Tron TRC-20 – Tether, Vechain, Verge, Wanchain, Waves, WaykiChain, Xdc, Zilliqa и другие.

Наши инструменты

Slither, securify, Mythril, Sūrya, Solgraph, Truffle, Hardhat, Ganache, Mist, solhint, mythx, manticore и т. д.


Что вы получаете

Результаты проекта включают в себя отчет об аудите смарт-контракта:

  1. Резюме для руководителя
  2. Проектный подход
    • Спецификация проекта (Rules of Engagement)
    • Описание методологии аудита безопасности смарт-контракта
    • Описание области охвата
  3. Рабочий процесс аудита безопасности смарт-контракта
  4. Полученные данные и рекомендации
  5. Дополнительная информация о полученных данных и подробные рекомендации
  6. Выводы
  7. Рекомендации по снижению рисков.

После того, как вы исправляете недостатки вашего смарт-контракта, мы бесплатно проводим повторное тестирование и выдаём вам сертификат безопасности, гарантирующий надёжность вашего смарт-контракта и значительно повышающий суммарную ценность вашего проекта.

ЗАПРОС ЦЕНЫ

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа аудита смарт-контракта. Получите бесплатную консультацию.

Бизнес-кейсы проектов, выполненых нами

Автоматизация бизнеса
Анализ безопасности исходных кодов программного обеспечения
Аудит смарт-контрактов и блокчейн
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)