Анализ защищенности блокчейн-проектов

В настоящее время блокчейн испытывает настоящий рывок в своем развитии, сопровождаемый огромным интересом со стороны бизнесменов, разработчиков, инвесторов, СМИ и других участников. Самым известным способом практической реализации технологии блокчейн являются криптовалюты.

Многие частные лица, компании и государственные учреждения применяют распределенный реестр для решения своих задач. На базе блокчейн реализуют, помимо криптовалют, инвестиционные инструменты, средства для хранение критически важной информации, создают самоуправляемые организации и делают многое другое.

Однако с увеличением популярности этой технологии также растет интерес к ней со стороны злоумышленников, что подтверждается взломами кошельков, платформ и проектов, которые сопровождаются многомиллионными потерями.

Основными целями действия злоумышленников могут быть:

  • Нелегитимные переводы криптовалюты из кошельков;
  • Эксплуатация особенностей EVM для атаки на смарт-контракты;
  • Подмена адресов для перевода криптовалюты;
  • Приведение проектов в состояние неработоспособности (подробнее о защите от DoS/DDoS).

Создатели платформ на базе блокчейна думают о безопасности проектов, разрабатываемых на этих платформах, поэтому выпускают рекомендации и стандарты безопасной разработки, которым стоит следовать. Однако экосистема очень молода и привлечение внешнего эксперта по информационной безопасности является принятой практикой для анализа защищенности интерфейсов взаимодействия с пользователями и аудита смарт-контрактов.

Анализ защищенности позволяет:

  • Определить актуальные для вашего проекта уязвимости, которые может использовать злоумышленник;
  • Выявить проблемы безопасности в бизнес-логике, в том числе. для смарт-контрактов;
  • Оценить качество используемых средств защиты.

Аудит кода смарт-контракта на базе Ethereum

В рамках этих работ мы рассматриваем несколько моделей нарушителя:

  • внешний нарушитель из сети интернет, без привилегий;
  • внешний нарушитель из сети Ethereum;
  • владелец смарт-контракта.

К основным работам относятся следующие категории:

  • Анализ Whitepaper на предмет соответствия описанной и фактически реализуемой логики;
  • Анализ архитектуры, состава и характеристик программных средств;
  • Проведение анализа безопасности исходного кода с использованием автоматизированных инструментов;
  • Проведение анализа безопасности исходного кода вручную;
  • Оценка найденных недостатков и уязвимостей на основании модели угроз;
  • Описание необходимых действий для закрытия уязвимостей.

Анализ защищенности интерфейсов

В рамках этих работ объектами исследования являются в основном мобильные и веб-приложения, которые используются для взаимодействия с пользователями. Подробнее об анализе защищенности мобильных приложений, веб приложений.

Результаты проекта

Результатом проведения анализа защищенности будет экспертный отчет, содержащий:

  • Перечень обнаруженных уязвимостей, ошибок конфигурации и других выявленных недостатков с точки зрения информационной безопасности;
  • Демонстрации реализации значимых уязвимостей;
  • Рекомендации по повышению текущего уровня защищенности.
Оставить заявку