Аудит смарт-контрактів

ЗАПРОСИТИ ЦІНУ

Аналіз і перевірка специфікацій та вихідного коду смарт-контрактів

Ваші смарт-контракти можуть містити приховані вразливості, які можуть призвести до втрати грошей або переривання бізнес-операцій. У світі блокчейн навіть дрібні проблеми безпеки негативно впливають на репутацію та інвестиційні рішення.

Захистіть ваші блокчейн-рішення, усуньте коштовні помилки, оптимізуйте ваш код і дайте гарантії надійності вашим користувачам та інвесторам. У результаті ви збільшите довіру блокчейн-спільноти до ваших проєктів та забезпечите їхнє стабільне зростання.

Наші сертифіковані експерти рядок за рядком аналізують безпеку ваших смарт-контрактів, знаходячи їх уразливості та інші недоліки. Ми розробляємо рекомендації, які захищають ваші смарт-контракти та ваш бізнес.

Будь ласка, прочитайте введення в безпеку смарт-контрактів. Дізнайтеся більше про проблеми, які ми вирішуємо, про методи та інструменти, які ми використовуємо, та про результати, які ми надаємо.


Проблеми смарт-контрактів

  1. Невідповідність між специфікацією та реалізацією.
  2. Недоліки дизайну, логіки та контролю доступу.
  3. Переповнення при арифметичних операціях (цілочисельне переповнення).
  4. Атаки повторного входу, атаки впровадження коду та атаки типу «відмова в обслуговуванні».
  5. Перевищення ліміту використання байт-коду та газу.
  6. Майнерські атаки на мітки часу та порядок транзакцій, залежність порядку транзакцій (TOD).
  7. Умови гонки, а також інші відомі атаки та порушення управління доступом.
?
Детальніше про вразливості
  • Поширені та специфічні для платформи вразливості:
  • Неправильне впровадження стандарту
  • Переповнення цілого числа
  • Атака на стек викликів
  • Залежність від позначки часу
  • Залежність від властивостей блоку
  • Помилка мультипідпису
  • Залежність від порядку транзакцій
  • Уразливості функцій виклику
  • Безпека бізнесу
  • Безпека подій
  • Атака повторного входу
  • Уразливості генератора псевдовипадкових чисел
  • Уразливості DoS
  • Фальшивий депозит
  • Реалізація Token Vesting
  • Помилкова зміна стану
  • та інші (100+ уразливостей)
  • Поширені вразливості кодування на Solidity та інших мовах:
  • Додаткові витрати газу
  • Неявний рівень видимості
  • Дорогий цикл
  • Використання модифікатора видимості public замість external
  • Застарілі модулі
  • Використання fallback функцій
  • Перевизначення змінних
  • Надлишковий код
  • та інше
ЗАудит смарт-контрактів

Вимоги до аудиторів смарт-контрактів

  • Метою аудиту смарт-контрактів є ретельний аналіз коду для виявлення недоліків і вразливостей.
  • Аудит безпеки проводиться з використанням поєднання ручних і автоматичних інструментів і методів для виявлення та моделювання експлуатації вразливостей в їхньому цільовому середовищі.
  • Тести проводяться командою фахівців із досвідом роботи в різних галузях інформаційної безпеки з 2002 року, власниками сертифікатів CISSP, OSCP, CISA та CEH.
  • Аналіз коду слідує рекомендаціям Solidity Style Guide та Ethereum Smart Contract Security Best Practices.
  • Класифікація вразливостей відповідає DASP Top 10, SWC Registry та CWE/SANS Top 25.
ЗАПИТ ЦІНИ

Етапи аудиту

  • Перевірка документації.
  • Детальний аналіз коду смарт-контракту, функціональності та логіки його роботи, криптографії, сторонніх модулів та структури бібліотек.
  • Аналіз специфічних кейсів: Web security, Social security, Token/smart-contract OSINT, Signs of Risk, Signs of Confidence.
  • Ручний пошук слабких місць функцій, розробка векторів атак, написання тестів для їх реалізації.
  • Автоматичне сканування вихідних файлів для пошуку невідповідностей кращим практикам безпеки смарт-контрактів.
  • Перевірка результатів сканування, визначення помилкових спрацьовувань інструментів та реальних уразливостей, які можуть вплинути на безпеку програми.
  • Розробка рекомендацій щодо усунення знайдених недоліків та оцінка ризиків.
  • Перевірка впровадження рекомендацій.
  • Видача публічного сертифіката про успішне проходження аудиту.

Ми аудуємо

?
Список платформ, які ми підтримуємо
  • aelf, Aeron, Aeternity, AION, Algorand, Ambrosus, AnycoinDirect, Arcona, Ardor, Ark, Asure, Auctus, Augur, Aurum, Avalanche, BILLCRYPT, Bithemoth, Block Collider, BNB Beacon Chain (BEP2), BNB Smart Chain (BEP20), BnkToTheFuture, Cardano, Casper, Centrality, ChangeNOW, ChiliZ, ConsenSys Quorum, Cortex, Cosmos, COTI, Cronos, Cryptonex, CyberMiles, Dapp Fight, Dapps, Disciplina, Dogezer, Earths, ECROFund, Elastos, Electrify Asia, Enigma, Enjin Coin, Enkronos, EOS, стандарти Ethereum ERC-20 – ERC-4626, Etherparty, Fantom, Fluence, FReeStart, Funfair, Gimli, Gnosis, GoByte, GXChain, HECO, HoloChain, I-chain, ICON, IExec, Ignis, Internxt, INTRO, Ion, IOStoken, JUST, Klaytn, Komodo, Lisk, Loom Network, Loopring, MaidSafeCoin, Mainframe, Maker, Metaverse ETP, Morpheus Network, MVL, NAV Coin, Near, Nebulas, NEM, Neo, Nimiq, NIX, Nuls, NXT, OEL Foundation, OmniBazaar, ONT, Ontology, Opporty, OpuLabs, ORIS.SPACE, Papusha, Polkadot, Polygon, ProximaX, Qtum, QuarkChain, QUOINE, RChain, Red Pulse, RepuX, Request Network, Revain, Scorum, Siacoin, Skycoin, SmartMesh, Solana, Stellar, Stream, Swarm city, Syscoin, Taklimakan, Tezos, Theta, TON, Trivver, Tron TRC-20 – Tether, Vechain, Verge, Wanchain, Waves, WaykiChain, Xdc, Zilliqa та інші.

Наші інструменти

Slither, securify, Mythril, Sūrya, Solgraph, Truffle, Hardhat, Ganache, Mist, solhint, mythx, manticore тощо.


Що ви отримуєте

Результати проєкту охоплюють звіт про аудит смарт-контракту:

  1. Резюме для керівника
  2. Проєктний підхід
    • Специфікація проєкту (Rules of Engagement)
    • Опис методології аудиту безпеки смарт-контракту
    • Опис обсягу охоплення
  3. Робочий процес аудиту безпеки смарт-контракту
  4. Отримані дані та рекомендації
  5. Додаткова інформація про отримані дані та докладні рекомендації
  6. Висновки
  7. Рекомендації щодо зниження ризиків.

Після того, як ви виправляєте недоліки вашого смарт-контракту, ми безкоштовно проводимо повторне тестування та видаємо вам сертифікат безпеки, що гарантує надійність вашого смарт-контракту та значно підвищує сумарну цінність вашого проєкту.

ЗАПИТ ЦІНИ

Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для замовлення аудиту смарт-контракту. Отримайте безкоштовну консультацію.

Бізнес-кейси проектів, виконаних нами

Автоматизація бізнесу
Аналіз безпеки вихідних кодів програмного забезпечення
Аудит смарт-контрактів та блокчейн
Аудити безпеки та тести на проникнення
Кейси з впровадження центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування