Приклади аудиту

Перш ніж працювати з нами, ми хотіли б поділитися тим, як виглядатиме кінцевий результат. Ви знайдете приклади деяких наших публічних перевірок для кількох різних типів додатків. Не соромтеся переглянути їх, щоб краще зрозуміти наші можливості.

Аудит смарт-контрактів

У Sayfer ми перевіряємо кожен рядок коду, глибоко розуміючи архітектуру за допомогою новітнього стандарту SCSVS. Окрім поширених атак і найкращих практик, важливо також розуміти власну бізнес-логіку та ідею кожної функції.

Місія аудитора полягає в тому, щоб зрозуміти код, його мету та те, що зроблять зловмисники, щоб скористатися логікою контракту. Аудитор використовує автоматизовані інструменти та ручне тестування для проведення аудиту якості.

NFT - FatCats

завантажити PDF

FatCats — це колекція з 5,000 унікальних NFT, які одночасно є маркером членства та акціями всіх холдингів FatCats. Контракт FatCats – це контракт NFT-токенів, який має етапи карбування – крок 1, крок 2 і публічний монетний двір. Етапи карбування встановлює власник.
Під час аудиту NFT fatcats ми виявили проблему автентифікації в процесі розкриття. Ця вразливість дозволила зловмиснику отримати доступ до метаданих NFT до того, як вони були виявлені, і зробити розумні прогнози щодо airdrops або певних трансакцій карбування для рідкісних NFT. Це потенційно може дозволити зловмиснику отримати контроль над найціннішими NFT у проекті.
Ми запропонували FatCats кілька можливих стратегій пом’якшення, включаючи скорочення часу розкриття та впровадження випадкового скидання NFT.
Пізніше ми виявили, що вразливість набагато більша, ніж просто цей проект, і впливає на 10% усіх NFTS (докладніше про Експлойт BadReveal NFT на нашому блозі).

Телефон і контрольний лист

Криптова біржа

завантажити PDF

Ми виконали повне тестування на проникнення за принципом «сірого ящика» програми Centralized Exchange і аудит безпеки бізнес-логіки та коду Centralized Exchange з точки зору криптовалюти.
Найнебезпечнішими вразливими місцями, які ми виявили, були впровадження SQL і недоліки в бізнес-логіці.
Вплив на систему є критичним, оскільки зловмисник може використати деякі з цих уразливостей, щоб скористатися перевагами системи, або змінивши свою роль користувача на «super_user» за допомогою SQL-ін’єкції, або зловживаючи системою та вкравши гроші з централізованої біржі. за допомогою механізму оновлення системи 30-х років.
Ми запропонували Crypto Exchange кілька можливих стратегій пом’якшення, включаючи уникнення конкатенації рядків у повні оператори SQL, використання сторонніх служб зберігача для керування гарячими гаманцями та сховищами, постійну перевірку авторизації в кожному запиті тощо.

Створіть дорожню карту безпеки

ZenPool - протокол кредитування

завантажити PDF

ZenPool — це токен із відкритим вихідним кодом, який не є кастодіальним, і ринковий протокол кредитування. Користувачі можуть внести свої криптоактиви, щоб заробити відсотки, або позичити інші токени, щоб сплатити відсотки на ринку ZenPool. ZenPool має власний токен під назвою ZEN. ZenPool також підтримує облігації, що є ще одним способом збільшити його скарбницю.
Ми провели повний аудит безпеки для всіх контрактів ZenPool і виявили 3 уразливості «високого» ризику, якими можуть скористатися зловмисники, які можуть повністю випорожнити кошти пулу.
Ми знайшли можливе використання коду контракту, який зловмисник може використовувати для зняття суми, що перевищує максимальну суму позики, ми запропонували правильний спосіб переписати код, щоб уникнути вразливості.
Крім того, ми виявили вразливість у функціональності контракту, яка дозволяє неавторизованому зловмиснику викликати певну функцію для передачі ETH з контракту.
Ми запропонували пом’якшити цю вразливість, дозволивши певним ролям доступ до певних функцій або дозволивши доступ до них лише власникам контрактів.

Щит

Аудит токенів

завантажити PDF

Evernow складається з токена та механізму стекінгу. Ставлення з відсотками буде можливим для користувачів, які завершать щорічний онлайн-ретріт. Набуття права в обох схемах розраховуватиметься від кінця обриву.

Керівництво по реалізації
Перейти до вмісту