Аудит смарт-контрактов

Анализ и проверка спецификаций и исходного кода смарт-контрактов

Ваши смарт-контракты могут содержать скрытые уязвимости, которые могут привести к потере денег или прерыванию бизнес-операций. В мире блокчейн даже мелкие проблемы безопасности негативно влияют на репутацию и инвестиционные решения.

Защитите ваши блокчейн-решения, устраните дорогостоящие ошибки, оптимизируйте ваш код и дайте гарантии надёжности вашим пользователям и инвесторам. В результате вы увеличите доверие блокчейн-сообщества к вашим проектам и обеспечите их стабильный рост. 

Наши сертифицированные эксперты построчно анализируют безопасность ваших смарт-контрактов, находя их уязвимости и другие недостатки. Мы разрабатываем рекомендации, которые защищают ваши смарт-контракты и ваш бизнес.

Прочитайте введение в безопасность смарт-контрактов. Узнайте больше о проблемах, которые мы решаем, о методах и инструментах, которые мы используем, и о результатах, которые мы предоставляем.

Бесплатный Аудит


Проблемы смарт-контрактов

  1. Несоответствие между спецификацией и реализацией.
  2. Недостатки дизайна, логики и контроля доступа.
  3. Переполнение при арифметических операциях (целочисленное переполнение).
  4. Атаки повторного входа, атаки внедрения кода и атаки типа «отказ в обслуживании».
  5. Превышение лимита использования байт-кода и газа.
  6. Майнерские атаки на метки времени и порядок транзакций, зависимость порядка транзакций (TOD).
  7. Условия гонки, а также другие известные атаки и нарушения управления доступом.
?
Подробнее об уязвимостях
  • Общие и специфичные для платформы уязвимости:
  • Неправильная стандартная реализация
  • Целочисленное переполнение
  • Атака на стек вызовов
  • Зависимость от метки времени
  • Зависимость от свойств блока
  • Ошибка мультиподписи 
  • Зависимость от порядка транзакций
  • Уязвимости функций вызова
  • Безопасность бизнеса
  • Безопасность событий 
  • Атака повторного входа
  • Уязвимости генератора псевдослучайных чисел
  • Уязвимости DoS
  • Поддельный депозит
  • Реализация вестинга токенов
  • Ошибочная смена состояния
  • и другие (100+ уязвимостей)
  • Распространенные уязвимости кодирования на Solidity и других языках:
  • Дополнительный расход газа
  • Неявный уровень видимости
  • Дорогостоящие циклы
  • Использование модификатора видимости public вместо external
  • Устаревшие модули
  • Использование fallback функций
  • Переопределение переменных
  • Избыточный код
  • и другие
Изображение - Аудит смарт-контрактов

Каким проектам нужен аудит смарт-контрактов?

Аудит смарт-контрактов необходим для любого проекта, который использует смарт-контракты для автоматизации выполнения и обеспечения соблюдения договорных соглашений в сетях блокчейнов. Эти проекты включают в себя децентрализованные биржи, торговые площадки NFT, автоматические маркет-мейкеры, протоколы выращивания урожая и множество других типов проектов.

Когда проекту нужен аудит смарт-контракта?

Аудит смарт-контракта необходим, когда требуется оценить безопасность и функциональность смарт-контракта. Есть несколько условий или предпосылок, которые делают аудит смарт-контракта необходимым, в том числе:

1
Перед развертыванием
Аудит смарт-контракта часто проводится до того, как контракт будет развернут в сети блокчейн. Это необходимо для обеспечения безопасности контракта и отсутствия уязвимостей, которыми могут воспользоваться злоумышленники.
2
После развертывания
Аудит смарт-контракта также может быть проведен после того, как контракт был развернут в сети блокчейн. Это необходимо для оценки безопасности и функциональности контракта в реальной среде и для выявления любых проблем, которые могли возникнуть после развертывания.
3
Изменение требований
Аудит смарт-контракта может потребоваться при изменении требований или спецификаций контракта. Это делается для того, чтобы изменения не создавали уязвимости в системе безопасности и не нарушали функциональность контракта.
4
Проблемы безопасности
Аудит смарт-контракта может быть необходим, когда есть проблемы с безопасностью контракта. Это может быть ответом на нарушение безопасности, обнаружение уязвимости или предполагаемую атаку.
5
Требования соответствия
Аудит смарт-контракта может потребоваться для соблюдения нормативных или отраслевых стандартов. Например, финансовым учреждениям может потребоваться провести аудит смарт-контрактов для соблюдения правил безопасности и конфиденциальности.
ПОЛУЧИТЬ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ

Преимущества аудита смарт-контрактов H-X

Аудит смарт-контрактов H-X предоставляет ряд преимуществ, в том числе:

  • Обеспечение безопасности: аудит помогает выявить потенциальные риски безопасности и уязвимости в смарт-контрактах, обеспечивая целостность и безопасность платформы и ее пользователей.
  • Соответствие: Аудит может помочь убедиться, что код смарт-контракта соответствует соответствующим правилам и стандартам.
  • Защита репутации: Успешный аудит может повысить репутацию проекта и его разработчиков, повысив доверие пользователей и уверенность в платформе.
  • Экономия средств: Раннее выявление и устранение потенциальных угроз безопасности может помочь избежать дорогостоящих нарушений безопасности и юридических проблем в будущем.

Требования к аудиторам смарт-контрактов

  1. Целью аудита смарт-контрактов является тщательный анализ кода для выявления недостатков и уязвимостей.
  2. Аудит безопасности проводится с использованием сочетания ручных и автоматических инструментов и методов для выявления и моделирования эксплуатации уязвимостей в их целевой среде.
  3. Тесты проводятся командой специалистов с опытом работы в различных областях информационной безопасности с 2002 года, обладателями сертификатов CISSP, OSCP, CISA и CEH.
  4. Анализ кода следует рекомендациям Solidity Style Guide, Ethereum Smart Contract Security Best Practices, Smart Contract Security Verification Standard (SCSVS).
  5. Классификация уязвимостей соответствует DASP Top 10, SWC Registry и CWE/SANS Top 25.
ЗАПРОС ЦЕНЫ

Этапы аудита

  1. Проверка документации.
  2. Детальный анализ кода смарт-контракта, функциональности и логики его работы, криптографии, сторонних модулей и структуры библиотек.
  3. Анализ специфических кейсов: Web security, Social security, Token/smart-contract OSINT, Signs of Risk, Signs of Confidence.
  4. Ручной поиск слабых мест функций, разработка векторов атак, написание тестов для их реализации.
  5. Автоматическое сканирование исходных файлов для поиска несоответствий лучшим практикам безопасности смарт-контрактов.
  6. Проверка результатов сканирования, определение ложных срабатываний инструментов и реальных уязвимостей, которые могут повлиять на безопасность приложения.
  7. Разработка рекомендаций по устранению найденных недостатков и оценка рисков.
  8. Проверка внедрения рекомендаций.
  9. Выдача публичного сертификата об успешном прохождении аудита.

Мы проводим аудит смарт-контрактов на этих платформах

?
Расширенный список платформ, которые мы поддерживаем
  • aelf, Aeron, Aeternity, AION, Algorand, Ambrosus, Aptos, Arbitrum, Arcona, Ardor, Ark, Asure, Auctus, Augur, Aurum, Avalanche, BILLCRYPT, Bithemoth, Block Collider, BNB Smart Chain (BEP20), BnkToTheFuture, Cardano, Casper, Celo, Centrality, ConsenSys Quorum, Cortex, Cosmos, COTI, Cronos, CyberMiles, Disciplina, Enigma, Enjin Coin, Enkronos, EOS, Ethereum (ERC-20, ERC-4626), Fantom, Fluence, Funfair, Gimli, Gnosis, GoByte, GXChain, Harmony, HECO, Hifi Finance, HoloChain, ICON, IExec, Ignis, IOStoken, JUST, Kadena, Klaytn, Komodo, Liquid.com, Lisk, Loom Network, Loopring, Maker, Metaverse ETP, Moonbeam, Morpheus Network, NAV Coin, Near, Nebulas, NEM, Neo, NIX, Nuls, NXT, Ontology, Optimism, OpuLabs, Phoenix Global, Polkadot, Polygon, Qtum, QuarkChain, Quorum, RChain, Request Network, Solana, Stellar, Sui, Swarm city, Syscoin, Tezos, Theta, TON, Tron (TRC-20), Vechain, Verge, Wanchain, Waves, XDC, Zilliqa, etc.

Наши инструменты

Aderyn, Chukti, Diligence Fuzzing, Echidna, Foundry, Ganache, Halmos, Hardhat, Harvey, Manticore, Medusa, Mythril, Slither, Solhint, Tenderly, Truffle и т. д.


Что включает в себя отчет об аудите смарт-контрактов

Результаты проекта включают в себя отчет об аудите смарт-контракта:

  1. Резюме для руководителя
  2. Проектный подход
    • Спецификация проекта (Rules of Engagement)
    • Описание методологии аудита безопасности смарт-контракта
    • Описание области охвата
  3. Рабочий процесс аудита безопасности смарт-контракта
  4. Полученные данные и рекомендации
  5. Дополнительная информация о полученных данных и подробные рекомендации
  6. Выводы
  7. Рекомендации по снижению рисков.

После того, как вы исправляете недостатки вашего смарт-контракта, мы бесплатно проводим повторное тестирование и выдаём вам сертификат безопасности, гарантирующий надёжность вашего смарт-контракта и значительно повышающий суммарную ценность вашего проекта.

Резюме сервиса

⏳ Продолжительность проекта

В среднем 2-3 недели. Аудит крупного или сложного контракта может занять даже месяцы.

🎁 Это бесплатно или с тестовым периодом?

Используйте наш автоматический сервис scau.pro для поверхностного аудита безопасности смарт-контрактов.

💼 Для какого бизнеса это нужно?

Финансы, цепочка поставок, здравоохранение, игры, недвижимость, правительство и любой бизнес, который использует смарт-контракты в качестве важного компонента своей деятельности.

💡 Когда нужна эта услуга?

До или после развертывания, при изменении требований, соображениях безопасности или требований соответствия.

📈 Ваша выгода

Снижение финансовых рисков, повышение надежности, уверенности, соответствия требованиям, репутации, финансовой ценности и конкурентных преимуществ.

⚙️ Наши методы и инструменты

Проверка кода вручную, автоматизированные инструменты, тестирование на проникновение, наборы тестов для смарт-контрактов и аналитика блокчейна.

📑 Результаты

Резюме, подробный отчет, рекомендации по исправлениям, отчёт по ретесту, сертификат.

ЗАПРОС ЦЕНЫ

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа аудита смарт-контракта. Получите бесплатную консультацию.

Бизнес-кейсы проектов, выполненых нами

Автоматизация бизнеса
Анализ безопасности исходных кодов программного обеспечения
Аудит смарт-контрактов и блокчейн
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)