Esempi di controllo

Prima di lavorare con noi ci piacerebbe condividere quello che sembrerebbe il risultato finale. Troverai esempi di alcuni dei nostri audit pubblici per diversi tipi di applicazioni, sentiti libero di esaminarli per comprendere meglio le nostre capacità.

Controllo dei contratti intelligenti

In Sayfer stiamo verificando ogni riga di codice pur avendo una profonda conoscenza dell'architettura utilizzando il più recente standard SCSVS. Oltre agli attacchi comuni e alle best practice, è importante comprendere anche la propria logica aziendale e l'idea alla base di ogni funzionalità.

La missione di un revisore è comprendere il codice, il suo obiettivo e cosa farebbero i cattivi attori per trarre vantaggio dalla logica del contratto. Il revisore utilizza strumenti automatizzati e test manuali per eseguire un audit di qualità.

NFT - FatCats

Scarica PDF

FatCats è una raccolta di 5,000 NFT unici che fungono anche da token di appartenenza e azioni di tutte le partecipazioni di FatCats. FatCats Contract è un contratto di token NFT con conio in passaggi: passaggio 1, passaggio 2 e conio pubblico. I passaggi di conio sono impostati dal proprietario.
Durante l'audit di NFT fatcats, abbiamo riscontrato un problema di autenticazione nel processo di rivelazione. Questa vulnerabilità ha consentito a un utente malintenzionato di accedere ai metadati NFT prima che venissero rivelati e fare previsioni intelligenti su lanci aerei o transazioni di conio specifiche per NFT rari. Ciò potrebbe potenzialmente consentire all'attaccante di ottenere il controllo degli NFT più preziosi del progetto.
Abbiamo suggerito a FatCats alcune possibili strategie di mitigazione, inclusa la riduzione del tempo di rivelazione e l'implementazione di un airdrop NFT casuale.
Successivamente abbiamo scoperto che la vulnerabilità è molto più grande di questo progetto e interessa il 10% di tutti gli NFTS (leggi di più su Exploit BadReveal NFT sul nostro blog).

Telefono e lista di controllo

Crypto Exchange

Scarica PDF

Abbiamo eseguito test di penetrazione grey-box completi sull'applicazione Exchange centralizzata e audit di sicurezza white-box della logica aziendale e del codice di Exchange centralizzato dal punto di vista della criptovaluta.
Le vulnerabilità più pericolose che abbiamo scoperto sono state l'iniezione SQL e i difetti nella logica aziendale.
L'impatto sul sistema è critico in quanto un utente malintenzionato potrebbe sfruttare alcune di queste vulnerabilità per sfruttare il sistema, modificando il proprio ruolo utente in "super_user" tramite l'iniezione SQL o abusando del sistema e rubando denaro dall'Exchange centralizzato utilizzando il meccanismo di aggiornamento del sistema degli anni '30.
Abbiamo suggerito a Crypto Exchange alcune possibili strategie di mitigazione, tra cui evitare di concatenare stringhe a istruzioni SQL complete, utilizzare servizi di custodia di terze parti per gestire hot wallet e depositi, controllare costantemente l'autorizzazione in ogni richiesta e altro ancora.

Costruisci una roadmap per la sicurezza

ZenPool - Protocollo di prestito

Scarica PDF

ZenPool è un token open source, non detentivo e un protocollo di mercato dei prestiti. Gli utenti possono depositare le proprie risorse crittografiche per guadagnare interessi o prendere in prestito altri token per pagare interessi nel mercato di ZenPool. ZenPool ha il suo token chiamato ZEN. ZenPool supporta anche le obbligazioni, che è un altro modo per aumentare la sua tesoreria.
Abbiamo eseguito un audit di sicurezza completo per tutti i contratti ZenPool e abbiamo rilevato 3 vulnerabilità ad "alto" rischio che potrebbero essere sfruttate da aggressori malintenzionati, che potrebbero svuotare completamente i fondi del pool.
Abbiamo riscontrato il possibile sfruttamento di un codice di contratto che un utente malintenzionato può utilizzare per prelevare più dell'importo massimo del prestito, abbiamo suggerito un modo corretto per riscrivere il codice per evitare la vulnerabilità.
Inoltre, abbiamo riscontrato una vulnerabilità nella funzionalità di un contratto che consente a un utente malintenzionato non autorizzato di chiamare una funzione specifica per trasferire ETH dal contratto.
Abbiamo suggerito di mitigare questa vulnerabilità consentendo a ruoli specifici di accedere a funzioni specifiche o consentendo solo ai proprietari di contratti di accedervi.

Scudo

Controllo token

Scarica PDF

Evernow consiste in un token e un meccanismo di picchettamento. Lo staking con interesse sarà possibile per gli utenti che completano il ritiro online annuale. La maturazione in entrambi gli schemi sarà calcolata dalla fine della scogliera.

Guida all'implementazione
Salta al contenuto