Exemples de vérification

Avant de travailler avec nous, nous aimerions partager à quoi ressemblerait le résultat final. Vous trouverez des exemples de certains de nos audits publics pour plusieurs types d'applications différents, n'hésitez pas à les parcourir pour mieux comprendre nos capacités.

Audit de contrat intelligent

Chez Sayfer, nous vérifions chaque ligne de code tout en ayant une compréhension approfondie de l'architecture en utilisant la toute dernière norme SCSVS. En plus des attaques courantes et des meilleures pratiques, il est également important de comprendre votre propre logique métier et l'idée derrière chaque fonctionnalité.

La mission d'un auditeur est de comprendre le code, son objectif et ce que feraient les mauvais acteurs pour profiter de la logique du contrat. L'auditeur utilise des outils automatisés et des tests manuels pour effectuer un audit de qualité.

NFT - FatCats

Télécharger le PDF

FatCats est une collection de 5,000 1 NFT uniques qui servent également de jeton d'adhésion et d'actions de tous les avoirs FatCats. Le contrat FatCats est un contrat de jeton NFT dont la frappe se fait par étapes - étape 2, étape XNUMX et frappe publique. Les étapes de frappe sont fixées par le propriétaire.
Lors de l'audit NFT fatcats, nous avons découvert un problème d'authentification dans le processus de révélation. Cette vulnérabilité a permis à un attaquant d'accéder aux métadonnées NFT avant qu'elles ne soient révélées et de faire des prédictions intelligentes sur les parachutages ou les transactions de frappe spécifiques pour les NFT rares. Cela pourrait potentiellement permettre à l'attaquant de prendre le contrôle des NFT les plus précieux du projet.
Nous avons suggéré à FatCats quelques stratégies d'atténuation possibles, notamment la réduction du temps de révélation et la mise en œuvre d'un airdrop NFT aléatoire.
Nous avons découvert plus tard que la vulnérabilité est bien plus importante que ce projet et affecte 10 % de tous les NFTS (en savoir plus sur Exploit BadReveal NFT sur notre blog).

Téléphone et liste de contrôle

Échange de chiffrement

Télécharger le PDF

Nous avons effectué des tests de pénétration complets en boîte grise sur l'application Centralized Exchange et un audit de sécurité en boîte blanche de la logique métier et du code Centralized Exchange du point de vue de la crypto-monnaie.
Les vulnérabilités les plus dangereuses que nous avons découvertes étaient l'injection SQL et les failles de la logique métier.
L'impact sur le système est critique car un attaquant malveillant pourrait exploiter certaines de ces vulnérabilités pour profiter du système, soit en changeant son rôle d'utilisateur en "super_user" via l'injection SQL, soit en abusant du système et en volant de l'argent à l'échange centralisé. en utilisant le mécanisme de mise à jour du système 30s.
Nous avons suggéré à Crypto Exchange quelques stratégies d'atténuation possibles, notamment en évitant de concaténer des chaînes avec des instructions SQL complètes, en utilisant des services de dépositaire tiers pour gérer les portefeuilles et les coffres chauds, en vérifiant constamment l'autorisation dans chaque demande, et plus encore.

Construire une feuille de route de sécurité

ZenPool - Protocole de prêt

Télécharger le PDF

ZenPool est un jeton open source et non dépositaire et un protocole de marché de prêt. Les utilisateurs peuvent déposer leurs actifs cryptographiques pour gagner des intérêts ou emprunter d'autres jetons pour payer des intérêts sur le marché de ZenPool. ZenPool a son propre jeton appelé ZEN. ZenPool prend également en charge les obligations, ce qui est un autre moyen d'augmenter sa trésorerie.
Nous avons effectué un audit de sécurité complet pour tous les contrats ZenPool et nous avons trouvé 3 vulnérabilités à risque "élevé" qui pourraient être exploitées par des attaquants malveillants, qui pourraient vider complètement les fonds du pool.
Nous avons trouvé une exploitation possible d'un code de contrat qu'un attaquant peut utiliser pour retirer plus que le montant d'emprunt maximum, nous avons suggéré une manière correcte de réécrire le code pour éviter la vulnérabilité.
De plus, nous avons trouvé une vulnérabilité dans la fonctionnalité d'un contrat qui permet à un attaquant non autorisé d'appeler une fonction spécifique pour transférer des ETH à partir du contrat.
Nous avons suggéré d'atténuer cette vulnérabilité en permettant à des rôles spécifiques d'accéder à des fonctions spécifiques ou en autorisant uniquement les propriétaires de contrats à y accéder.

bouclier

Vérification des jetons

Télécharger le PDF

Evernow se compose d'un jeton et d'un mécanisme de jalonnement. Le jalonnement avec intérêt sera possible pour les utilisateurs qui terminent la retraite annuelle en ligne. L'acquisition dans les deux régimes sera calculée à partir de la fin de la falaise.

Guide de mise en œuvre
Passer au contenu