Аудит смарт-контрактів
У Sayfer ми перевіряємо кожен рядок коду, глибоко розуміючи архітектуру за допомогою новітнього стандарту SCSVS. Окрім поширених атак і найкращих практик, важливо також розуміти власну бізнес-логіку та ідею кожної функції.
Місія аудитора полягає в тому, щоб зрозуміти код, його мету та те, що зроблять зловмисники, щоб скористатися логікою контракту. Аудитор використовує автоматизовані інструменти та ручне тестування для проведення аудиту якості.
Криптова біржа
Ми виконали повне тестування на проникнення за принципом «сірого ящика» програми Centralized Exchange і аудит безпеки бізнес-логіки та коду Centralized Exchange з точки зору криптовалюти.
Найнебезпечнішими вразливими місцями, які ми виявили, були впровадження SQL і недоліки в бізнес-логіці.
Вплив на систему є критичним, оскільки зловмисник може використати деякі з цих уразливостей, щоб скористатися перевагами системи, або змінивши свою роль користувача на «super_user» за допомогою SQL-ін’єкції, або зловживаючи системою та вкравши гроші з централізованої біржі. за допомогою механізму оновлення системи 30-х років.
Ми запропонували Crypto Exchange кілька можливих стратегій пом’якшення, включаючи уникнення конкатенації рядків у повні оператори SQL, використання сторонніх служб зберігача для керування гарячими гаманцями та сховищами, постійну перевірку авторизації в кожному запиті тощо.
ZenPool - протокол кредитування
ZenPool — це токен із відкритим вихідним кодом, який не є кастодіальним, і ринковий протокол кредитування. Користувачі можуть внести свої криптоактиви, щоб заробити відсотки, або позичити інші токени, щоб сплатити відсотки на ринку ZenPool. ZenPool має власний токен під назвою ZEN. ZenPool також підтримує облігації, що є ще одним способом збільшити його скарбницю.
Ми провели повний аудит безпеки для всіх контрактів ZenPool і виявили 3 уразливості «високого» ризику, якими можуть скористатися зловмисники, які можуть повністю випорожнити кошти пулу.
Ми знайшли можливе використання коду контракту, який зловмисник може використовувати для зняття суми, що перевищує максимальну суму позики, ми запропонували правильний спосіб переписати код, щоб уникнути вразливості.
Крім того, ми виявили вразливість у функціональності контракту, яка дозволяє неавторизованому зловмиснику викликати певну функцію для передачі ETH з контракту.
Ми запропонували пом’якшити цю вразливість, дозволивши певним ролям доступ до певних функцій або дозволивши доступ до них лише власникам контрактів.
NFT - FatCats
FatCats — це колекція з 5,000 унікальних NFT, які одночасно є маркером членства та акціями всіх холдингів FatCats. Контракт FatCats – це контракт NFT-токенів, який має етапи карбування – крок 1, крок 2 і публічний монетний двір. Етапи карбування встановлює власник.
Під час аудиту NFT fatcats ми виявили проблему автентифікації в процесі розкриття. Ця вразливість дозволила зловмиснику отримати доступ до метаданих NFT до того, як вони були виявлені, і зробити розумні прогнози щодо airdrops або певних трансакцій карбування для рідкісних NFT. Це потенційно може дозволити зловмиснику отримати контроль над найціннішими NFT у проекті.
Ми запропонували FatCats кілька можливих стратегій пом’якшення, включаючи скорочення часу розкриття та впровадження випадкового скидання NFT.
Пізніше ми виявили, що вразливість набагато більша, ніж просто цей проект, і впливає на 10% усіх NFTS (докладніше про Експлойт BadReveal NFT на нашому блозі).
Аудит токенів
Evernow складається з токена та механізму стекінгу. Ставлення з відсотками буде можливим для користувачів, які завершать щорічний онлайн-ретріт. Набуття права в обох схемах розраховуватиметься від кінця обриву.
