Ejemplos de auditoría

Antes de trabajar con nosotros, nos encantaría compartir cómo sería el resultado final. Encontrará ejemplos de algunas de nuestras auditorías públicas para varios tipos de aplicaciones diferentes, siéntase libre de revisarlas para comprender mejor nuestras capacidades.

Auditoría de contratos inteligentes

En Sayfer estamos verificando cada línea de código mientras tenemos una comprensión profunda de la arquitectura utilizando el estándar SCSVS más nuevo. Además de los ataques comunes y las mejores prácticas, también es importante comprender su propia lógica comercial y la idea detrás de cada funcionalidad.

La misión de un auditor es comprender el código, su objetivo y qué harían los malos actores para aprovechar la lógica del contrato. El auditor utiliza herramientas automatizadas y pruebas manuales para realizar una auditoría de calidad.

NFT - Gatos gordos

Descargue en archivo PDF (ingles)

FatCats es una colección de 5,000 NFT únicos que se duplican como token de membresía y como acciones de todas las tenencias de FatCats. FatCats Contract es un contrato de token NFT que se acuña en pasos: paso 1, paso 2 y acuñación pública. Los pasos de acuñación los establece el propietario.
Durante la auditoría de NFT fatcats, encontramos un problema de autenticación en el proceso de revelación. Esta vulnerabilidad permitió a un atacante acceder a los metadatos de NFT antes de que se revelaran y realizar predicciones inteligentes sobre airdrops o transacciones de acuñación específicas para NFT raros. Esto podría permitir que el atacante obtenga el control de los NFT más valiosos del proyecto.
Le sugerimos a FatCats algunas posibles estrategias de mitigación, incluida la reducción del tiempo de revelación y la implementación de un lanzamiento aéreo aleatorio de NFT.
Más tarde descubrimos que la vulnerabilidad es mucho más grande que solo este proyecto y afecta al 10% de todos los NFTS (lea más sobre Explotación de BadReveal NFT en nuestro blog).

Teléfono y lista de verificación

Crypto Exchange

Descargue en archivo PDF (ingles)

Realizamos pruebas de penetración de caja gris completas en la aplicación Centralized Exchange y auditorías de seguridad de caja blanca de la lógica comercial y el código de Centralized Exchange desde el punto de vista de las criptomonedas.
Las vulnerabilidades más peligrosas que descubrimos fueron la inyección de SQL y fallas en la lógica empresarial.
El impacto en el sistema es crítico, ya que un atacante malicioso podría explotar algunas de estas vulnerabilidades para aprovechar el sistema, ya sea cambiando su rol de usuario a "superusuario" a través de la inyección de SQL o abusando del sistema y robando dinero del Intercambio centralizado. utilizando el mecanismo de actualización del sistema 30s.
Le sugerimos a Crypto Exchange algunas posibles estrategias de mitigación, que incluyen evitar la concatenación de cadenas en declaraciones SQL completas, usar servicios de custodia de terceros para administrar billeteras y bóvedas activas, verificar constantemente la autorización en cada solicitud y más.

Cree una hoja de ruta de seguridad

ZenPool - Protocolo de préstamo

Descargue en archivo PDF (ingles)

ZenPool es un protocolo de mercado de préstamo y token sin custodia de código abierto. Los usuarios pueden depositar sus criptoactivos para ganar intereses o pedir prestados otros tokens para pagar intereses en el mercado de ZenPool. ZenPool tiene su propio token llamado ZEN. ZenPool también admite bonos, que es otra forma de aumentar su tesorería.
Realizamos una auditoría de seguridad completa para todos los contratos de ZenPool y encontramos 3 vulnerabilidades de riesgo "alto" que podrían ser explotadas por atacantes malintencionados, que podrían vaciar completamente los fondos del grupo.
Encontramos una posible explotación de un código de contrato que un atacante puede usar para retirar más del monto máximo de préstamo, sugerimos una forma correcta de reescribir el código para evitar la vulnerabilidad.
Además, encontramos una vulnerabilidad en la funcionalidad de un contrato que permite a un atacante no autorizado llamar a una función específica para transferir ETH del contrato.
Sugerimos mitigar esta vulnerabilidad permitiendo que roles específicos accedan a funciones específicas o permitiendo que solo los propietarios de contratos accedan a estas.

Proteccion

Auditoría de tokens

Descargue en archivo PDF (ingles)

Evernow consta de un token y un mecanismo de participación. Los usuarios que completen el retiro anual en línea podrán apostar con intereses. La adjudicación en ambos esquemas se calculará desde el final del precipicio.

Orientación de implementación
Ir al contenido