Überprüfung von Smart Contracts

Analyse und Verifizierung von Spezifikationen und Quellcode von Smart Contracts

Ihre Smart Contracts können versteckte Sicherheitslücken enthalten, die zu Geldverlusten oder Unterbrechungen des Geschäftsbetriebs führen können. In der Welt der Blockchain wirken sich selbst kleine Sicherheitsprobleme negativ auf die Reputation und Investitionsentscheidungen aus.

Sichern Sie Ihre Blockchain-Lösungen, beheben Sie kostspielige Fehler, optimieren Sie Ihren Code und sichern Sie Ihren Benutzern und Investoren Verlässlichkeit zu. Dadurch steigern Sie das Vertrauen der Blockchain-Community in Ihre Projekte und sorgen für deren stabiles Wachstum.

Unsere zertifizierten Experten*innen analysieren die Sicherheit Ihrer Smart Contracts Zeile für Zeile, indem sie ihre Sicherheitslücken und andere Schwachstellen finden. Wir entwickeln Richtlinien, die Ihre Smart Contracts und Ihr Unternehmen schützen.

Bitte lesen Sie die Einführung in Sicherheit von Smart Contract. Erfahren Sie mehr über die Probleme, die wir lösen, die Methoden und Tools, die wir verwenden, und die Ergebnisse, die wir liefern.

Kostenlose Sicherheitsanalyse von Smart Contracts.

Probleme von Smart Contracts

1. Diskrepanz zwischen Spezifikation und Implementierung.
2. Mängel in Design, Logik und Zugriffskontrolle.
3. Überlauf bei arithmetischen Operationen (Ganzzahlüberlauf).
4. Wiedereintrittsangriffe, Code-Injection-Angriffe und Denial-of-Service-Angriffe.
5. Überschreitung des Bytecode- und Gasverbrauchslimits.
6. Mining-Angriffe auf Zeitstempel und Transaktionsreihenfolge, Transaktionsreihenfolgeabhängigkeit (TOD).
7. Rennbedingungen sowie andere bekannte Angriffe und Verstöße gegen die Zugriffskontrolle.

Mehr zu Sicherheitslücken

Häufige und plattformspezifische Sicherheitslücken:

• Falsche Standardimplementierung
• Integer-Überlauf
• Call-Stack-Angriff
• Zeitstempelabhängigkeit
• Abhängigkeit von Blockeigenschaften
• Multi-Signatur-Fehler
• Abhängigkeit von der Reihenfolge der Transaktionen
• Sicherheitslücken der Aufruffunktion
• Unternehmenssicherheit
• Veranstaltungssicherheit
• Wiedereintrittsangriff
• Sicherheitslücken im Pseudozufallszahlengenerator
• DoS-Sicherheitslücken
• Gefälschte Einzahlung
• Implementierung von Token-Vesting
• Fehlerhafte Zustandsänderung
• und andere (über 100 Sicherheitslücken)

Häufige und plattformspezifische Sicherheitslücken:

• Zusätzlicher Gasverbrauch
• Implizite Sichtbarkeitsstufe
• Teure Zyklen
• Verwendung des Sichtbarkeitsmodifikators public statt external
• Veraltete Module
• Verwendung von Fallback-Funktionen
• Neudefinition von Variablen
• Überflüssiger Code
• und andere

Anforderungen an Überprüfer*innen von Smart Contracts

• Der Zweck einer Überprüfung von Smart Contract besteht darin, den Code gründlich zu analysieren, um Schwachstellen und Sicherheitslücken zu identifizieren.
• Ein Sicherheitsüberprüfung wird mit einer Kombination aus manuellen und automatisierten Tools und Methoden durchgeführt, um die Ausnutzung von Sicherheitslücken in ihrer Zielumgebung zu identifizieren und zu modellieren.
• Die Tests werden von einem Team von Spezialisten*innen durchgeführt, die seit 2002 Erfahrung in verschiedenen Bereichen der Informationssicherheit haben und Inhaber von CISSP-, OSCP-, CISA- und CEH-Zertifikaten sind.
• Die Codeanalyse folgt den Empfehlungen des Solidity Style Guide, Ethereum Smart Contract Security Best Practices, Smart Contract Security Verification Standard (SCSVS).
• Die Klassifizierung der Sicherheitslücken entspricht DASP Top 10, SWC Registry und CWE/SANS Top 25.

Überprüfungsphasen

• Überprüfung der Dokumentation.
• Detaillierte Analyse des Smart-Contract-Codes, der Funktionalität und Logik seines Betriebs, der Kryptografie, der Module von Drittanbietern und der Bibliotheksstruktur.
• Analyse konkreter Fälle: Web Security, Social Security, Token/Smart-Contract OSINT, Signs of Risk, Signs of Confidence.
• Manuelle Suche nach Schwachstellen in Funktionen, Entwicklung von Angriffsvektoren, Schreiben von Tests zu deren Umsetzung.
• Automatisches Scannen der Quelldateien auf Inkonsistenzen mit den Best Practices für die Sicherheit von Smart Contracts.
• Prüfung der Scan-Ergebnisse, Identifizierung von falsch-positiven Ergebnissen von Tools und echten Sicherheitsschwachstellen, die die Sicherheit der Anwendung beeinträchtigen können.
• Entwicklung von Empfehlungen zur Beseitigung der festgestellten Mängel und Risikobewertung.
• Prüfung der Umsetzung von Empfehlungen.
• Ausstellung einer öffentlichen Bescheinigung über den erfolgreichen Abschluss der Überprüfung.

Wir überprüfen

Die Liste der von uns unterstützten Plattformen

aelf, Aeron, Aeternity, AION, Algorand, Ambrosus, AnycoinDirect, Arcona, Ardor, Ark, Asure, Auctus, Augur, Aurum, Avalanche, BILLCRYPT, Bithemoth, Block Collider, BNB Beacon Chain (BEP2), BNB Smart Chain (BEP20), BnkToTheFuture, Cardano, Casper, Centrality, ChangeNOW, ChiliZ, ConsenSys Quorum, Cortex, Cosmos, COTI, Cronos, Cryptonex, CyberMiles, Dapp Fight, Dapps, Disciplina, Dogezer, Earths, ECROFund, Elastos, Electrify Asia, Enigma, Enjin Coin, Enkronos, EOS, Ethereum ERC-20 Standards - ERC-4626, Etherparty, Fantom, Fluence, FReeStart, Funfair, Gimli, Gnosis, GoByte, GXChain, HECO, HoloChain, I-chain, ICON, IExec, Ignis, Internxt, INTRO, Ion, IOStoken, JUST, Klaytn, Komodo, Lisk, Loom Network, Loopring, MaidSafeCoin, Mainframe, Maker, Metaverse ETP, Morpheus Network, MVL, NAV Coin, Near, Nebulas, NEM, Neo, Nimiq, NIX, Nuls, NXT, OEL Foundation, OmniBazaar, ONT, Ontology, Opporty, OpuLabs, ORIS.SPACE, Papusha, Polkadot, Polygon, ProximaX, Qtum, QuarkChain, QUOINE, RChain, Red Pulse, RepuX, Request Network, Revain, Scorum, Siacoin, Skycoin, SmartMesh, Solana, Stellar, Stream, Swarm city, Syscoin, Taklimakan, Tezos, Theta, TON, Trivver, Tron TRC-20 – Tether, Vechain, Verge, Wanchain, Waves, WaykiChain, Xdc, Zilliqa und andere.

Unsere Werkzeuge

Slither, securify, Mythril, Sūrya, Solgraph, Truffle, Hardhat, Ganache, Mist, Solhint, Mythx, Manticore usw.

Was bekommen Sie

Zu den Ergebnissen des Projekts gehört ein Prüfbericht von dem Smart Contract:

1. Kurzbeschreibung
2. Projektansatz
   • Projektspezifikation (Einsatzregeln)
   • Beschreibung der Smart-Contract-Sicherheitsüberprüfung-Methodik
   • Umfangsbeschreibung
3. Arbeitsablauf der Sicherheitsprüfung von Smart Contract
4. Erkenntnisse und Empfehlungen
5. Zusätzliche Informationen zu den Ergebnissen und detaillierte Empfehlungen
6. Schlussfolgerungen
7. Empfehlungen zur Risikominderung.

Nachdem Sie die Mängel Ihres Smart Contracts behoben haben, führen wir die erneute Prüfung kostenlos durch und stellen Ihnen ein Sicherheitszertifikat aus, das die Zuverlässigkeit Ihres Smart Contracts garantiert und den Gesamtwert Ihres Projekts erheblich steigert.

Wer wir sind, was wir tun und was bieten wir an.

Was ist Penetrationstest?