Аудит смарт-контрактів
Аналіз і перевірка специфікацій та вихідного коду смарт-контрактів
Ваші смарт-контракти можуть містити приховані вразливості, які можуть призвести до втрати грошей або переривання бізнес-операцій. У світі блокчейн навіть дрібні проблеми безпеки негативно впливають на репутацію та інвестиційні рішення.
Захистіть ваші блокчейн-рішення, усуньте коштовні помилки, оптимізуйте ваш код і дайте гарантії надійності вашим користувачам та інвесторам. У результаті ви збільшите довіру блокчейн-спільноти до ваших проєктів та забезпечите їхнє стабільне зростання.
Наші сертифіковані експерти рядок за рядком аналізують безпеку ваших смарт-контрактів, знаходячи їх уразливості та інші недоліки. Ми розробляємо рекомендації, які захищають ваші смарт-контракти та ваш бізнес.
Прочитайте введення в безпеку смарт-контрактів. Дізнайтеся більше про проблеми, які ми вирішуємо, про методи та інструменти, які ми використовуємо, та про результати, які ми надаємо.
Проблеми смарт-контрактів
- Невідповідність між специфікацією та реалізацією.
- Недоліки дизайну, логіки та контролю доступу.
- Переповнення при арифметичних операціях (цілочисельне переповнення).
- Атаки повторного входу, атаки впровадження коду та атаки типу «відмова в обслуговуванні».
- Перевищення ліміту використання байт-коду та газу.
- Майнерські атаки на мітки часу та порядок транзакцій, залежність порядку транзакцій (TOD).
- Умови гонки, а також інші відомі атаки та порушення управління доступом.
- Поширені та специфічні для платформи вразливості:
- Неправильне впровадження стандарту
- Переповнення цілого числа
- Атака на стек викликів
- Залежність від позначки часу
- Залежність від властивостей блоку
- Помилка мультипідпису
- Залежність від порядку транзакцій
- Уразливості функцій виклику
- Безпека бізнесу
- Безпека подій
- Атака повторного входу
- Уразливості генератора псевдовипадкових чисел
- Уразливості DoS
- Фальшивий депозит
- Реалізація Token Vesting
- Помилкова зміна стану
- та інші (100+ уразливостей)
- Поширені вразливості кодування на Solidity та інших мовах:
- Додаткові витрати газу
- Неявний рівень видимості
- Дорогий цикл
- Використання модифікатора видимості public замість external
- Застарілі модулі
- Використання fallback функцій
- Перевизначення змінних
- Надлишковий код
- та інше
Для яких проєктів потрібен аудит смарт-контрактів?
Аудит смарт-контрактів необхідний для будь-якого проєкту, який використовує смарт-контракти для автоматизації виконання та забезпечення виконання договірних угод у мережах блокчейн. Ці проєкти включають децентралізовані біржі, торгові майданчики NFT, автоматизовані маркет-мейкери, протоколи вирощування врожаю та багато інших типів проєктів.
Коли проєкту потрібен аудит смарт-контракту?
Аудит смарт-контракту необхідний, коли необхідно оцінити безпеку та функціональність смарт-контракту. Є кілька умов або передумов, які роблять аудит смарт-контракту необхідним, зокрема:
Переваги аудиту смарт-контрактів H-X
Аудит смарт-контрактів H-X надає кілька переваг, зокрема:
- Гарантія безпеки: аудит допомагає виявити потенційні ризики безпеки та вразливі місця в смарт-контрактах, гарантуючи цілісність і безпеку платформи та її користувачів.
- Відповідність: аудит може допомогти переконатися, що код смарт-контракту відповідає відповідним нормам і стандартам.
- Захист репутації: успішний аудит може підвищити репутацію проєкту та його розробників, збільшуючи довіру користувачів і впевненість у платформі.
- Економія коштів: раннє виявлення та усунення потенційних ризиків безпеки може допомогти уникнути дорогих порушень безпеки та юридичних проблем у майбутньому.
Вимоги до аудиторів смарт-контрактів
- Метою аудиту смарт-контрактів є ретельний аналіз коду для виявлення недоліків і вразливостей.
- Аудит безпеки проводиться з використанням поєднання ручних і автоматичних інструментів і методів для виявлення та моделювання експлуатації вразливостей в їхньому цільовому середовищі.
- Тести проводяться командою фахівців із досвідом роботи в різних галузях інформаційної безпеки з 2002 року, власниками сертифікатів CISSP, OSCP, CISA та CEH.
- Аналіз коду слідує рекомендаціям Solidity Style Guide, Ethereum Smart Contract Security Best Practices, Smart Contract Security Verification Standard (SCSVS).
- Класифікація вразливостей відповідає DASP Top 10, SWC Registry та CWE/SANS Top 25.
Етапи аудиту
- Перевірка документації.
- Детальний аналіз коду смарт-контракту, функціональності та логіки його роботи, криптографії, сторонніх модулів та структури бібліотек.
- Аналіз специфічних кейсів: Web security, Social security, Token/smart-contract OSINT, Signs of Risk, Signs of Confidence.
- Ручний пошук слабких місць функцій, розробка векторів атак, написання тестів для їх реалізації.
- Автоматичне сканування вихідних файлів для пошуку невідповідностей кращим практикам безпеки смарт-контрактів.
- Перевірка результатів сканування, визначення помилкових спрацьовувань інструментів та реальних уразливостей, які можуть вплинути на безпеку програми.
- Розробка рекомендацій щодо усунення знайдених недоліків та оцінка ризиків.
- Перевірка впровадження рекомендацій.
- Видача публічного сертифіката про успішне проходження аудиту.
Ми проводимо аудит смарт-контрактів на цих платформах
- aelf, Aeron, Aeternity, AION, Algorand, Ambrosus, Aptos, Arbitrum, Arcona, Ardor, Ark, Asure, Auctus, Augur, Aurum, Avalanche, BILLCRYPT, Bithemoth, Block Collider, BNB Smart Chain (BEP20), BnkToTheFuture, Cardano, Casper, Celo, Centrality, ConsenSys Quorum, Cortex, Cosmos, COTI, Cronos, CyberMiles, Disciplina, Enigma, Enjin Coin, Enkronos, EOS, Ethereum (ERC-20, ERC-4626), Fantom, Fluence, Funfair, Gimli, Gnosis, GoByte, GXChain, Harmony, HECO, Hifi Finance, HoloChain, ICON, IExec, Ignis, IOStoken, JUST, Kadena, Klaytn, Komodo, Liquid.com, Lisk, Loom Network, Loopring, Maker, Metaverse ETP, Moonbeam, Morpheus Network, NAV Coin, Near, Nebulas, NEM, Neo, NIX, Nuls, NXT, Ontology, Optimism, OpuLabs, Phoenix Global, Polkadot, Polygon, Qtum, QuarkChain, Quorum, RChain, Request Network, Solana, Stellar, Sui, Swarm city, Syscoin, Tezos, Theta, TON, Tron (TRC-20), Vechain, Verge, Wanchain, Waves, XDC, Zilliqa, etc.
Наші інструменти
Aderyn, Chukti, Diligence Fuzzing, Echidna, Foundry, Ganache, Halmos, Hardhat, Harvey, Manticore, Medusa, Mythril, Slither, Solhint, Tenderly, Truffle тощо.
Що включає звіт про аудит смарт-контракту
Результати проєкту охоплюють звіт про аудит смарт-контракту:
- Резюме для керівника
- Проєктний підхід
- Специфікація проєкту (Rules of Engagement)
- Опис методології аудиту безпеки смарт-контракту
- Опис обсягу охоплення
- Робочий процес аудиту безпеки смарт-контракту
- Отримані дані та рекомендації
- Додаткова інформація про отримані дані та докладні рекомендації
- Висновки
- Рекомендації щодо зниження ризиків.
Після того, як ви виправляєте недоліки вашого смарт-контракту, ми безкоштовно проводимо повторне тестування та видаємо вам сертифікат безпеки, що гарантує надійність вашого смарт-контракту та значно підвищує сумарну цінність вашого проєкту.
Резюме сервісу
⏳ Тривалість проєкту | У середньому 2-3 тижні. Аудит великого чи складного контракту може тривати навіть місяці. |
🎁 Це може бути безкоштовним чи мати тестовий період? | Використовуйте наш автоматичний сервіс scau.pro для поверхневого аудиту безпеки смарт-контрактів. |
💼 Для якого типу бізнесу це потрібно? | Фінанси, ланцюжок поставок, охорона здоров’я, ігри, нерухомість, уряд та будь-який бізнес, який використовує смарт-контракти як важливий компонент своєї діяльності. |
💡 Коли потрібна ця послуга? | До або після розгортання, за змін вимог, міркувань безпеки або вимог відповідності. |
📈 Ваша вигода | Зниження фінансових ризиків, підвищення надійності, впевненості, відповідності вимогам, репутації, фінансової цінності та конкурентних переваг. |
⚙️ Наші методи та інструменти | Перевірка коду вручну, автоматизовані інструменти, тестування на проникнення, набори тестів для смарт-контрактів та аналітика блокчейну. |
📑 Результати | Резюме, докладний звіт, рекомендації щодо виправлення, звіт з ретесту, сертифікат. |
Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для замовлення аудиту смарт-контракту. Отримайте безкоштовну консультацію.