Blockchain i audyty smart kontraktów
Analiza bezpieczeństwa smart kontraktów. Testy bezpieczeństwa zdecentralizowanych aplikacji Web3, portfeli, kantorów czy giełd oraz ich infrastrutury. Analizy przepływu środków i ataków on-chain.
Uzyskaj wycenę
Bezpieczeństwo aplikacji
W przypadku Web3 bezpieczeństwo frontendu smart kontraktu jest często pomijane i uważane za mniej istotne, ponieważ jest to "tylko" interfejs do kontraktu. Jednak jest to błędne podejście z uwagi, iż klasyczne błędy bezpieczeństwa stwarzają znacznie większe ryzyko dla skutków w środowisku blockchain. Przykładowo luka typu Stored Cross-Site Scripting (XSS) w zdecentralizowanym sklepie (marketplace) może doprowadzić do kradzieży środków z portfeli użytkowników lub niewłaściwie przechowywanych sekretów (np. kluczy prywatnych), może skutkować przejęciem kontroli nad całym protokołem. Bezpieczeństwo integracji interfejsu użytkownika ma kluczowe znaczenie, ponieważ przez większość czasu zwykli użytkownicy będą z niego korzystać zamiast bezpośrednio wchodzić w interakcje ze smart kontraktem. Dwa wymienione tutaj przykłady to rzeczywiste przypadki podatności zidentyfikowane przez naszych konsultantów.
Audyty smart kontraktów
Bezpieczeństwo smart kontraktów jest jednym z kluczowych czynników, zwłaszcza w przestrzeni zdecentralizowanych finansów (DeFi). Po wdrożeniu na mainnecie i rozpoczęciu przetwarzania rzeczywistych pieniędzy użytkowników całkowita wartość środków na kontrakcie (TVL) wzrasta, a tym samym wzrasta zainteresowanie projektem przez cyberprzestępców. Błąd w smart kontrakcie może spowodować katastrofalne straty dla użytkowników projektu i jego właścicieli. Ważne jest, aby od samego początku uwzględniać bezpieczeństwo w cyklu życia oprogramowania.
RED TEAM ma doświadczenie w przeprowadzaniu audytów smart kontraktów oraz analiz bezpieczeństwa smart kontraktów głównie dla łańcuchów opartych na Ethereum Virtual Machine (EVM) (np. Ethereum, BNB Chain, Polygon czy Avalanche) napisanych w Solidity lub Vyper. Ponadto mamy również doświadczenie z technologiami Cairo (StarkNet) i Rust (Terra i Solana).
Bezpieczeństwo kantorów i giełd
Dla kantorów kryptowalut czy platform tradingowych którym użytkownicy powierzają swoje środki, niezwykle ważne jest przeprowadzanie regularnych testów bezpieczeństwa, zarówno aplikacji jak i infrastruktury. Nasz zespół od wielu lat świadczy usługi testów penetracyjnych zarówno dla sektora kryptowalutowego, jak i tradycyjnych usług finansowych oraz bankowości, które potwierdzone są licznymi referencjami.
Testy bezpieczeństwa portfeli
W przypadku tworzenia portfela kryptowalutowego, czy to w formie aplikacji desktopowej, aplikacji mobilnej, aplikacji webowej, portfela sprzętowego czy rozszerzenia do przeglądarki, możemy pomóc w jego ocenie bezpieczeństwa. Mamy udokumentowane doświadczenie w identyfikowaniu podatności w popularnym oprogramowaniu, w tym w przeglądarkach internetowych firm takich jak Google, Apple czy Microsoft.
Blockchain informatyka śledcza i reagowanie na incydenty
W przypadku, gdy doszło już do włamania i utraty środków, niezależnie od tego, czy wykorzystano podatność w smart kontrakcie, czy skradziono klucze prywatne, możemy pomóc klientowi, przeprowadzając analizę incydentu. Korzystając z analizy on-chain, możemy śledzić przepływ środków i przeprowadzać analizę post mortem exploita w celu ustalenia przyczyny lub źródła ataku. Możemy również pomóc w przeprowadzeniu klasycznej analizy powłamaniowej.
Zarządzanie programem bug bounty
Wykonanie audytu bezpieczeństwa smart kontraktów jest kluczowe, najlepiej przeprowadzone przez kilku różnych dostawców. Jednak po publikacji kontraktu na blockchainie i uzyskaniu znaczącej liczby użytkowników oraz środków, właściciele projektu powinni rozważyć uruchomienie programu bug bounty, aby zachęcić do odpowiedzialnego ujawnieniania słabości w zabezpieczeniach (responsible disclosure), zanim błędy te zostaną znalezione przez cyberprzestępców i wykorzystane do kradzieży środków. Możemy pomóc w zaprojektowaniu, uruchomieniu i prowadzeniu programu bug bounty.
Weryfikacja projektów i firm (OSINT)
Fundusze Venture Capital, "anioły biznesu", firmy, a nawet inwestorzy indywidualni, którzy rozważają inwestycje lub partnerstwa, powinni zweryfikować swoich potencjalnych kontrahentów. Korzystając z białego wywiadu (OSINT) i naszej wiedzy technicznej, możemy pomóc w przeprowadzeniu oceny ryzyka i zidentyfikowaniu potencjalnych sygnałów ostrzegawczych. Weryfikacja osób, podmiotów gospodarczych, analiza dokumentu whitepaper i weryfikacja założeń projektowych. Sprawdzanie danych na blockchainie pod kątem powiązań ze znanymi oszustwami lub nielegalnymi źródłami funduszy. Analiza smart kontraktów pod kątem potencjalnych czynników ryzyka m.in. tzw. rug pulls, niska jakość kodu czy skopiowany kod.
