Примеры аудита

Прежде чем работать с нами, мы хотели бы поделиться тем, как будет выглядеть конечный результат. Вы найдете примеры некоторых наших общедоступных аудитов для нескольких различных типов приложений, не стесняйтесь просматривать их, чтобы лучше понять наши возможности.

Аудит смарт-контрактов

В Sayfer мы проверяем каждую строку кода, глубоко понимая архитектуру, используя новейший стандарт SCSVS. Помимо распространенных атак и лучших практик, важно также понимать собственную бизнес-логику и идею каждой функциональности.

Миссия аудитора состоит в том, чтобы понять код, его цель и то, что могут сделать злоумышленники, чтобы воспользоваться логикой контракта. Аудитор использует автоматизированные инструменты и ручное тестирование для проведения аудита качества.

NFT — толстые коты

скачать PDF

FatCats — это набор из 5,000 уникальных NFT, которые служат токеном членства и акциями всех активов FatCats. Контракт FatCats — это контракт на токены NFT, чеканка которого осуществляется поэтапно — шаг 1, шаг 2 и публичная чеканка. Шаги минтинга устанавливаются владельцем.
Во время аудита NFT fatcats мы обнаружили проблему аутентификации в процессе раскрытия. Эта уязвимость позволила злоумышленнику получить доступ к метаданным NFT до того, как они были раскрыты, и сделать интеллектуальные прогнозы об аирдропах или конкретных транзакциях чеканки для редких NFT. Это потенциально может позволить злоумышленнику получить контроль над наиболее ценными NFT в проекте.
Мы предложили FatCats несколько возможных стратегий смягчения последствий, включая сокращение времени раскрытия информации и реализацию случайного аирдропа NFT.
Позже мы обнаружили, что уязвимость намного больше, чем только этот проект, и затрагивает 10% всех NFTS (подробнее о Эксплойт BadReveal NFT в нашем блоге).

Телефон и контрольный список

Crypto Exchange

скачать PDF

Мы провели полное тестирование на проникновение серого ящика для приложения Centralized Exchange и аудит безопасности бизнес-логики и кода Centralized Exchange с точки зрения криптовалюты.
Наиболее опасными уязвимостями, которые мы обнаружили, были SQL-инъекции и недостатки в бизнес-логике.
Воздействие на систему имеет решающее значение, поскольку злоумышленник может использовать некоторые из этих уязвимостей, чтобы воспользоваться преимуществами системы, либо изменив свою роль пользователя на «super_user» с помощью SQL-инъекции, либо злоупотребив системой и похитив деньги с централизованной биржи. с помощью механизма обновления системы 30s.
Мы предложили Crypto Exchange несколько возможных стратегий смягчения последствий, включая отказ от объединения строк в полные операторы SQL, использование сторонних сервисов хранения для управления горячими кошельками и хранилищами, постоянную проверку авторизации в каждом запросе и многое другое.

Создайте дорожную карту безопасности

ZenPool — протокол кредитования

скачать PDF

ZenPool — это протокол рынка токенов и займов с открытым исходным кодом, не связанный с хранением. Пользователи могут вносить свои криптоактивы, чтобы получать проценты, или занимать другие токены, чтобы выплачивать проценты на рынке ZenPool. ZenPool имеет собственный токен под названием ZEN. ZenPool также поддерживает облигации, что является еще одним способом увеличить свою казну.
Мы провели полный аудит безопасности для всех контрактов ZenPool и обнаружили 3 уязвимости с «высоким» риском, которые могут быть использованы злоумышленниками, которые могут полностью опустошить средства пула.
Мы обнаружили возможную эксплуатацию кода контракта, который злоумышленник может использовать для снятия суммы, превышающей максимальную сумму займа, и предложили правильный способ переписать код, чтобы избежать уязвимости.
Более того, мы обнаружили уязвимость в функционале контракта, позволяющую неавторизованному злоумышленнику вызвать определенную функцию для перевода ETH из контракта.
Мы предложили смягчить эту уязвимость, разрешив определенным ролям доступ к определенным функциям или разрешив доступ к ним только владельцам контрактов.


Щит

Аудит токенов

скачать PDF

Evernow состоит из токена и механизма стейкинга. Ставки с процентами будут возможны для пользователей, которые завершат ежегодный онлайн-ретрит. Вестинг в обеих схемах будет рассчитываться с конца обрыва.

Руководство по внедрению
перейти к содержанию