ENDEUA

Аудит смарт-контрактов

Мы анализируем и проверяем спецификации проектов смарт-контрактов и исходный код, чтобы оценить их общую безопасность и сосредоточиться на слабых сторонах и потенциальных уязвимостях. Мы дополняем наши выводы решениями, которые уменьшают риски будущих атак или лазеек.

Узнайте больше о проблемах, которые мы решаем, о методах и инструментах, которые мы используем, и о результатах, которые мы предоставляем.


smart contract metaphor
 

Проблемы смарт-контрактов

  • Несоответствие между спецификацией и реализацией
  • Дефектный дизайн, логика и контроль доступа
  • Переполнение при арифметических операциях (целочисленное переполнение)
  • Атаки повторного входа, атаки внедрения кода и атаки типа «отказ в обслуживании»
  • Превышение лимита использования байт-кода и газа
  • Майнерские атаки на метки времени и порядок, зависимость порядка транзакций (TOD)
  • Условия гонки, а также другие известные атаки и нарушения управления доступом
 

Методы и инструменты

Наши аудиты смарт-контрактов соответствуют следующим требованиям:

  1. Целью аудита смарт-контрактов является тщательный анализ кода для выявления недостатков и уязвимостей.
  2. Аудит безопасности проводится с использованием сочетания ручных и автоматических инструментов и методов для выявления и моделирования эксплуатации уязвимостей в их целевой среде.
  3. Аудит смарт-контракта включает в себя следующие этапы:
    • Общий анализ кода и приложения
    • Проверка документации
    • Краткий обзор кода: быстрый анализ функциональности смарт-контракта, основных классов .sol и т. д.; анализ криптографии, сторонних модулей и структуры библиотек
    • Детальный анализ приложения, каждого его действия, всех запросов, полей ввода и вложенных модулей
    • Сканирование ошибок: сканирование приложения на соответствующих уровнях исходников и бинарников для выявления потенциальных нарушений рекомендаций по кодированию и практик безопасности
    • Проверка результатов сканирования: на этом этапе команда анализирует результаты сканирования, чтобы определить, какие из них являются ложными срабатываниями, а какие могут повлиять на безопасность приложения.
  4. Тесты проводятся командой специалистов с опытом работы в различных областях информационной безопасности с 2002 года, обладателями сертификатов CISSP, OSCP, CISA и CEH.
  5. В целом, обзор кода следует рекомендациям Solidity Style Guide и Ethereum Smart Contract Security Best Practices.

Инструменты, которые мы используем: Slither, securify, Mythril, Sūrya, Solgraph, Truffle, Geth, Ganache, Mist, Metamask, solhint, mythx и т. д.

 

Практические результаты

Результаты проекта включают в себя отчет об аудите смарт-контракта со структурой, аналогичной следующему примеру:

  1. Резюме для руководителя
  2. Проектный подход
    • Спецификация проекта (Rules of Engagement)
    • Описание методологии аудита безопасности смарт-контракта
    • Описание области охвата
  3. Рабочий процесс аудита безопасности смарт-контракта
  4. Полученные данные и рекомендации
  5. Дополнительная информация о полученных данных и подробные рекомендации
  6. Выводы
  7. Итоговые рекомендации и дальнейшие шаги

Мы увлечены тем, что делаем, потому что верим, что делаем этот мир более безопасным и придаём уверенность людям.

Нажмите кнопку ниже, чтобы получить предложение прямо сейчас.




Кто мы, что делаем и что предлагаем.

О тестах на проникновение.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI