blockchain i audyty smart kontraktów

Blockchain i audyty smart kontraktów

Analiza bezpieczeństwa smart kontraktów. Testy bezpieczeństwa zdecentralizowanych aplikacji Web3, portfeli, kantorów czy giełd oraz ich infrastrutury. Analizy przepływu środków i ataków on-chain.

Uzyskaj wycenę

Dlaczego usługi REDTEAM.PL?

Jesteśmy najbardziej doświadczonym zespołem na polskim rynku i najczęściej jesteśmy wybierani z powodu rozpoznawalnych konsultantów o najwyższych technicznych kompetencjach. Posiadamy ponad 20 lat doświadczenia w cyberbezpieczeństwie, dziesiątki podziękowań za odpowiedzialnie zgłoszone błędy w najpopularniejszym oprogramowaniu oraz ponad 60 imiennych referencji za zrealizowane usługi. Byliśmy autorami wielu uznanych publikacji Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) oraz Wydawnictwa Naukowego PWN. Ponadto nasze badania zostały uznane przez rozpoznawalne amerykańskie podmioty takie jak instytut SANS czy magazyn Forbes. Jesteśmy prekursorami większości specjalizacji cyberbezpieczeństwa, które realizowaliśmy zarazem jako jedni z pierwszych w kraju. Wszystkie nasze usługi wykonują tylko i wyłącznie doświadczeni eksperci, nie realizujemy zleceń przy pomocy osób bez wieloletniego praktycznego doświadczenia. Realizowane przez nas usługi to przede wszystkim najwyższa jakość niespotykana na polskim rynku – pod względem kompetencji i dokonań nie mamy sobie równych. Ponadto od kilkunastu lat posiadamy także status biegłego sądowego.

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

Microsoft
Apple
Oracle
Mozilla
Netflix
Adobe

Bezpieczeństwo aplikacji

W przypadku Web3 bezpieczeństwo frontendu smart kontraktu jest często pomijane i uważane za mniej istotne, ponieważ jest to "tylko" interfejs do kontraktu. Jednak jest to błędne podejście z uwagi, iż klasyczne błędy bezpieczeństwa stwarzają znacznie większe ryzyko dla skutków w środowisku blockchain. Przykładowo luka typu Stored Cross-Site Scripting (XSS) w zdecentralizowanym sklepie (marketplace) może doprowadzić do kradzieży środków z portfeli użytkowników lub niewłaściwie przechowywanych sekretów (np. kluczy prywatnych), może skutkować przejęciem kontroli nad całym protokołem. Bezpieczeństwo integracji interfejsu użytkownika ma kluczowe znaczenie, ponieważ przez większość czasu zwykli użytkownicy będą z niego korzystać zamiast bezpośrednio wchodzić w interakcje ze smart kontraktem. Dwa wymienione tutaj przykłady to rzeczywiste przypadki podatności zidentyfikowane przez naszych konsultantów.

Audyty smart kontraktów

Bezpieczeństwo smart kontraktów jest jednym z kluczowych czynników, zwłaszcza w przestrzeni zdecentralizowanych finansów (DeFi). Po wdrożeniu na mainnecie i rozpoczęciu przetwarzania rzeczywistych pieniędzy użytkowników całkowita wartość środków na kontrakcie (TVL) wzrasta, a tym samym wzrasta zainteresowanie projektem przez cyberprzestępców. Błąd w smart kontrakcie może spowodować katastrofalne straty dla użytkowników projektu i jego właścicieli. Ważne jest, aby od samego początku uwzględniać bezpieczeństwo w cyklu życia oprogramowania.

RED TEAM ma doświadczenie w przeprowadzaniu audytów smart kontraktów oraz analiz bezpieczeństwa smart kontraktów głównie dla łańcuchów opartych na Ethereum Virtual Machine (EVM) (np. Ethereum, BNB Chain, Polygon czy Avalanche) napisanych w Solidity lub Vyper. Ponadto mamy również doświadczenie z technologiami Cairo (StarkNet) i Rust (Terra i Solana).

Bezpieczeństwo kantorów i giełd

Dla kantorów kryptowalut czy platform tradingowych którym użytkownicy powierzają swoje środki, niezwykle ważne jest przeprowadzanie regularnych testów bezpieczeństwa, zarówno aplikacji jak i infrastruktury. Nasz zespół od wielu lat świadczy usługi testów penetracyjnych zarówno dla sektora kryptowalutowego, jak i tradycyjnych usług finansowych oraz bankowości, które potwierdzone są licznymi referencjami.

Testy bezpieczeństwa portfeli

W przypadku tworzenia portfela kryptowalutowego, czy to w formie aplikacji desktopowej, aplikacji mobilnej, aplikacji webowej, portfela sprzętowego czy rozszerzenia do przeglądarki, możemy pomóc w jego ocenie bezpieczeństwa. Mamy udokumentowane doświadczenie w identyfikowaniu podatności w popularnym oprogramowaniu, w tym w przeglądarkach internetowych firm takich jak Google, Apple czy Microsoft.

Blockchain informatyka śledcza i reagowanie na incydenty

W przypadku, gdy doszło już do włamania i utraty środków, niezależnie od tego, czy wykorzystano podatność w smart kontrakcie, czy skradziono klucze prywatne, możemy pomóc klientowi, przeprowadzając analizę incydentu. Korzystając z analizy on-chain, możemy śledzić przepływ środków i przeprowadzać analizę post mortem exploita w celu ustalenia przyczyny lub źródła ataku. Możemy również pomóc w przeprowadzeniu klasycznej analizy powłamaniowej.

Zarządzanie programem bug bounty

Wykonanie audytu bezpieczeństwa smart kontraktów jest kluczowe, najlepiej przeprowadzone przez kilku różnych dostawców. Jednak po publikacji kontraktu na blockchainie i uzyskaniu znaczącej liczby użytkowników oraz środków, właściciele projektu powinni rozważyć uruchomienie programu bug bounty, aby zachęcić do odpowiedzialnego ujawnieniania słabości w zabezpieczeniach (responsible disclosure), zanim błędy te zostaną znalezione przez cyberprzestępców i wykorzystane do kradzieży środków. Możemy pomóc w zaprojektowaniu, uruchomieniu i prowadzeniu programu bug bounty.

Weryfikacja projektów i firm (OSINT)

Fundusze Venture Capital, "anioły biznesu", firmy, a nawet inwestorzy indywidualni, którzy rozważają inwestycje lub partnerstwa, powinni zweryfikować swoich potencjalnych kontrahentów. Korzystając z białego wywiadu (OSINT) i naszej wiedzy technicznej, możemy pomóc w przeprowadzeniu oceny ryzyka i zidentyfikowaniu potencjalnych sygnałów ostrzegawczych. Weryfikacja osób, podmiotów gospodarczych, analiza dokumentu whitepaper i weryfikacja założeń projektowych. Sprawdzanie danych na blockchainie pod kątem powiązań ze znanymi oszustwami lub nielegalnymi źródłami funduszy. Analiza smart kontraktów pod kątem potencjalnych czynników ryzyka m.in. tzw. rug pulls, niska jakość kodu czy skopiowany kod.

Poznaj nasz zespół

Nasze sylwetki posiadają konkretne informacje o naszym bogatym doświadczeniu zawodowym, a dodatkowo poparte są najbardziej uznanymi branżowymi certyfikatami, publikacjami naukowymi oraz referencjami od znanych podmiotów (referencje dostępne są na życzenie).

Adam Ziaja
Adam Ziaja

Prezes Zarządu RED TEAM. Posiada poparte realnymi osiągnięciami szerokie techniczne kompetencje związane z cyberbezpieczeństwem, zarówno z zakresu ataku jak i obrony.

czytaj więcej…

Paweł Wyleciał
Paweł Wyleciał

Członek Zarządu RED TEAM. Od wielu lat skupia się na wszelkiego rodzaju ofensywnych aspektach cyberbezpieczeństwa i w tym zakresie posiada liczne dokonania.

czytaj więcej…

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.