Тор-11 аудиторов смарт-контрактов

Очередной громкий эксплойт – взлом Solana – напомнил о важности криптобезопасности, критически важным компонентом которой в высококонкурентном мире DeFi является аудит смарт-контрактов.

Протоколы, как правило, работают на сложном наборе смарт-контрактов, хороший аудит которых решает две ключевые задачи:

1. Безопасность

Качественная проверка смарт-контрактов помогает выявлять потенциальные проблемы и гарантирует, что протокол предпринимает необходимые шаги для устранения любых ошибок или недостатков, которые могут подвергнуть риску средства пользователей.

2. Доверие

Хороший аудит помогает проекту завоевать определенный уровень доверия со стороны криптосообщества, а также внушает потенциальными венчурными инвесторами, что установлен базовый уровень безопасности.

Это важно не только для новых проектов, которые выводятся на рынок, но и для тех существующих, в которых развернуто крупное обновление. Стандартной практикой становится аудит, проводимый сторонней компанией до того, как какие-либо серьезные изменения в смарт-контрактах будут развернуты в производственной среде.

Помимо аудита смарт-контрактов, некоторые фирмы, занимающиеся безопасностью, также предлагают другие услуги в области кибербезопасности: тестирование на проникновение, запуск программ вознаграждения за обнаружение ошибок, оценку уязвимостей и моделирование угроз. Все это дополнительные услуги, которыми может воспользоваться проект, если его команде потребуется дополнительная помощь или поддержка.

Ниже приведены те факторы, которые следует учитывать при выборе аудитора, и перечислены некоторые из самых уважаемых фирм.

Как выбрать аудитора смарт-контрактов?

Одним из первых шагов в поиске подходящего аудитора смарт-контрактов является проверка портфелей тех проектов/платформ, которые эти компании проверяли в прошлом. Это позволит вам узнать количество проведенных компанией аудитов, и, что еще более важно, увидеть, были ли использованы какие-либо проекты/платформы, над которыми аудитор работал.

Кроме того, размер и популярность проверенных компанией проектов поможет определить, стоит ли нанимать этого аудитора, поскольку более крупные проекты будут привлекать больше внимания со стороны хакеров.

Большинство аудиторов будут предлагать аудит контрактов Ethereum, и только некоторые из них будут иметь опыт аудита проектов в альтчейнах, таких как Solana, Polygon, Avalanche, Fantom и BNB. Это связано с тем, что даже EVM-совместимые цепочки имеют разные базовые архитектуры, не говоря уже о некоторых альтчейнах, таких как Solana и NEAR, которые используют совершенно другой язык программирования, например, Rust.

Разные фирмы будут иметь разную компетенцию в области протоколов аудита, построенных на разных блокчейнах, поэтому было бы разумно оценить их уровень, прежде чем привлекать их для аудита. Как минимум, вам следует просмотреть портфолио аудиторской фирмы, чтобы узнать, проводила ли она в прошлом какие-либо аудиты выбранного вами блокчейна. Например, если вы выбираете аудит контракта на основе Solana, проверьте прошлые аудиты компании для проектов на основе Solana.

При этом при просмотре прошлых аудиторских отчетов имейте в виду такую важную вещь, как методология и подход, принятые в аудиторской фирме. Во многих случаях объем аудита варьируется в зависимости от разных проектов, и аудиторские компании берутся за работу разной сложности на основе договоренности со своими клиентами. Очевидно, что чем более подробный и тщательный аудит, тем лучше, но это также означает более длительное проверки и более высокие затраты на проект.

Тщательный аудит также принимает во внимание качество кода, так как, хотя это может не быть проблемой сейчас, плохо написанный код может вызвать сложности в будущем, когда протокол необходимо будет обновить.

Наконец, качество аудиторских отчетов — еще один фактор, на который следует обращать внимание при выборе хорошего аудитора. Хороший отчет должен включать подробное описание всех проблем, обнаруженных в ходе расследования.

Также очень важно отметить, учитывались ли выводы аудита проектом. Хотя вы ожидаете, что отчет об аудите смарт-контракта будет довольно техническим, наличие хорошо структурированного документа, написанного лаконично и понятно большинству людей, является хорошим признаком, на который стоит обратить внимание.

Hacken

• Количество проектов: 700+
• Общая MCAP портфеля: $100 млрд+
• Основные клиенты: FTX, Avalanche, VeChain, Huobi, Kyber
• Поддерживаемые сети: Ethereum, EVM, Solana, Polygon, Avalanche, NEAR, Fantom, BNB
• Количество проверенных проектов на Rektboard (претерпевших взлом – прим. ред.): 2
• Общая сумма Rekt (понесенных убытков – прим. ред.): $8,5 млн

Hacken — ведущая консалтинговая компания в области кибербезопасности, основанная специалистами по безопасности и белыми хакерами с упором на безопасность блокчейна. С момента своего основания в 2017 году Hacken обучает и расширяет сообщество этичных хакеров, что делает компанию выдающимся игроком в отрасли. Hacken приложила усилия для постоянного развития и создания экосистемы безопасности блокчейна, вложив $1,5 миллиона в Cer.live, и запустила такие продукты, как платформа Hackenproof BugBounty с более чем 10000 этических хакеров, Hacken.ai, hVPN, hPass и т. д.

В настоящее время в портфеле компании более 700 проектов, а рыночная капитализация Hacken превышает 100 миллиардов долларов.

Компания работала с более чем 80 проектами, включая такие известные, как FTX, Avalanche, VeChain, Huobi, Kyber и другие.

Помимо того, что Hacken является консалтинговой компанией по безопасности блокчейнов, она предоставляет своим клиентам широкий спектр услуг по обеспечению безопасности, таких как тестирование на проникновение в Интернет и мобильные устройства, оценка уязвимостей и координация программ вознаграждения за обнаружение ошибок.

В истории аудита Hacken два проверенных протокола, Warp Finance и Merlin Labs, понесли совокупный убыток в размере $8,5 млн.

Более заметной атакой стал эксплойт Warp Finance с флэш-кредитом, в результате которого хакер смог снять $7,8 млн. Тем не менее, команда смогла получить залог по кредиту, что позволило вернуть 75% внесенных пользователем средств. После этого инцидента в методологию аудита Hacken были внесены серьезные изменения, направленные на предотвращение использования экспресс-кредитов.

CertiK

• Количество подключенных проектов: 1800+
• Общая MCAP портфеля: $278 млрд+
• Основные клиенты: сеть BNB, Terra, Polygon, The Sandbox
• Поддерживаемые блокчейны: все сети
• Количество проверенных проектов на Rektboard: 5
• Общая сумма понесенных убытков: $100 млн

CertiK — это блокчейн-охранная компания, основанная в 2018 году профессорами Колумбийского и Йельского университетов. Для своих комплексных услуг аудита безопасности блокчейна компания использует формальную проверку и технологию искусственного интеллекта, сотрудничая с некоторыми из лучших экспертов по кибербезопасности. Таким образом, CertiK математически проверяет безопасность смарт-контрактов, сочетая формальную и ручную проверку.

Кроме того, компания разработала «CertiK Chain», ориентированный на безопасность блокчейн, созданный для повышения безопасности смарт-контрактов.

CertiK утверждает, что она провела аудит более 1800 проектов и оценила общую рыночную капитализацию на сумму более $278 миллиардов. Компания провела аудит таких популярных сетей, как BNB, Terra, Polygon и The Sandbox. Ее также поддерживают Binance, Coinbase и Golden Sachs.

Другие услуги CertiK включают Skynet, Skytrace и тестирование на проникновение.

К сожалению, CertiK несколько раз присутствовала в таблице лидеров Rekt, совсем недавно она появилась там в шестой раз. Шесть проверенных CertiK проектов (Saddle Finance, Akropolis, Arbix Finance, Elephant Money, Spartan Protocol, Vee Finance) понесли общий убыток в размере $100 миллионов.

Arbix Finance — последний эксплойт с убытком более $10 миллионов. 4 января 2022 года CertiK разослал предупреждение сообществу в своем Twitter, предупредив своих подписчиков не взаимодействовать с протоколом. С тех пор фирма пометила проект как Rugpull.

Slowmist

• Количество проектов: более 1000
• Общая MCAP портфеля: $150 млрд+
• Основные клиенты: Binance, OKX, Huobi, Pancakeswap, Crypto.com
• Поддерживаемые блокчейны: Ethereum (все блокчейны EVM), EOS, Fabric, Solana, VeChain, ONT
• Количество проверенных проектов на Rektboard: 1
• Общая сумма rekt: $34 млн

SlowMist, основанная в 2018 году, специализируется на обеспечении защиты экосистемы блокчейнов.

Команда SlowMist имеет более чем 10-летний опыт работы в области сетевой безопасности и сотрудничала с различными проектами, такими как Binance, OKX, Huobi, Pancakeswap и Crypto.com.

Помимо проведения аудитов, SlowMist также предлагает множество других продуктов и услуг, связанных с безопасностью. Некоторые из них включают MistTrack, программное обеспечение для борьбы с отмыванием денег (AML), Vulpush (мониторинг уязвимостей) и SlowMist Hacked (крипто-хакерские архивы).

Компания сотрудничает с различными международными и отечественными фирмами по обеспечению безопасности, такими как Akamai, Cloudflare, FireEye, BitDefender и IPIP, чтобы обеспечить дополнительную ценность своих услуг.

Одним из примечательных сервисов SlowMist является MistTrack, система, которая отслеживает движение украденных средств. С момента своего запуска она обслужила более 60 клиентов и вернула около $1 млрд украденных средств.

У протокола Vee Finance, проверенного SlowMist на Avalanche, было украдено $34 млн из-за невыполненных контрактов. SlowMist объяснила, что проблема возникла, когда злоумышленник использовал уязвимость для манипулирования ценой пула Pangolin, который служит источником ценового оракула для Vee Finance, в результате чего проверка проскальзывания перед свопом не работала должным образом.

Quantstamp

• Количество проектов на борту: 200+
• Общая MCAP портфеля: $200 млрд+
• Основные клиенты: Maker, Curve, OpenSea
• Поддерживаемые сети: все
• Количество проверенных проектов на Rektboard: 3
• Общая сумма rekt: $48 млн

Quantstamp является одним из самых признанных аудиторов смарт-контрактов в секторе блокчейн. С момента своего основания компания провела более 200 аудитов и помогла получить более 200 миллиардов долларов.

Команда Quantstamp состоит из докторов наук и специалистов по безопасности с опытом работы в крупнейших технологических компаниях, таких как Google, Facebook, Apple и Ethereum Foundation.

У Quantstamp есть сильная команда экспертов по безопасности, которые предоставляют свои услуги аудита на любом языке, включая языки, специально разработанные для использования в блокчейн-приложениях.

Компания провела аудит многочисленных систем блокчейна, включая Ethereum 2.0, Solana, BNB Chain, Cardano и такие протоколы, как Maker, Curve и OpenSea.

Ее услуги включают аудит блокчейнов уровня 1, приложений NFT и DeFi на основе смарт-контрактов, а также разработку финансовых примитивов для экосистем блокчейнов уровня 1.

Три проекта, проверенные Quantstamp, в прошлом сталкивались с громкими нарушениями, в результате чего общие убытки составили почти $48 млн.

Эксплойт Alpha Finance — один из крупнейших в секторе DeFi с убытками в размере $37,5 млн.

Еще одна жертва взлома смарт-контрактов – Rari Capital: у проекта были украдены токены на сумму около $11 млн. Эксплойт Rari представлял собой чрезвычайно сложный межсетевой взлом, который включал взаимодействие со многими другими протоколами.

Наконец, эксплойт Saddle Finance стал результатом арбитражной атаки на неэффективный протокол, а не результатом проблемы со смарт-контрактом.

Halborn

• Количество проектов на борту: 150+
• Общая MCAP портфеля: $75 млрд+
• Основные клиенты: BlockFi, ApeCoin, Avalanche, THORChain,
• Поддерживаемые блокчейны: Ethereum, Terra, Cosmos Tendermint, Algorand
• Количество проверенных проектов на Rektboard: 1
• Общая сумма rekt: $31 млн

Компания Halborn была основана в 2019 году Робом Бенке и Стивеном Уолбролом, двумя известными этическими хакерами. С тех пор организация выросла и сейчас включает более 80 высококвалифицированных инженеров по безопасности.

Halborn специализируется на анализе и тестировании блокчейн-приложений на предмет уязвимостей безопасности и проблем с дизайном. Выполняя как ручное, так и автоматизированное тестирование, команда Halborn гарантирует, что приложение смарт-контракта готово для основной сети.

Фирма специализируется на таких протоколах, как Ethereum, Substrate, Solana, CosmWasm, Terra, Cosmos Tendermint и Algorand.

Ее клиентами являются BlockFi, ApeCoin, Avalanche, THORChain и Polygon.

Помимо аудита смарт-контрактов, фирма также предоставляет консультации по кибербезопасности, расширенное тестирование на проникновение, DevOps и автоматизацию.

Эксплойт проверенного Halborn протокола MonoX стоимостью 31 миллион долларов занимает 22-е место по величине взлома в DeFi. Согласно SlowMist, основной причиной атаки была неспособность контракта свопа проверить, совпадают ли входящие и исходящие токены в пуле. Благодаря этому злоумышленник смог воспользоваться функцией обновления цены, которая позволила хакеру искусственно завысить цену токенов MONO.

OpenZeppelin

• Количество подключенных проектов: не указано.
• Общая MCAP портфеля: $10 млрд.
• Основные клиенты: Ethereum Foundation, Coinbase, Compound, Aave, The Graph.
• Поддерживаемые блокчейны: Ethereum
• Количество проверенных проектов на Rektboard: 1
• Общая сумма rekt: $275 000

«Стандарт для безопасных блокчейн-приложений» — так OpenZeppelin называет себя. OpenZeppelin — компания, занимающаяся технологиями и услугами в области кибербезопасности, известная разработкой своих библиотек Solidity (OpenZeppelin Contracts). Разработчики могут легко интегрировать эти библиотеки в свои приложения с помощью собственного SDK OpenZeppelin.

С 2015 года компания помогла защитить активы на сумму более $10 млрд в некоторых из самых известных организаций в крипто-секторе, включая, помимо прочего, Ethereum Foundation, Coinbase, Compound, Aave и The Graph.

Кроме того, OpenZeppelin стала первой компанией, занимающейся кибербезопасностью, внедрившей геймификацию для выявления уязвимостей безопасности в смарт-контрактах. «Ethernaut» от OpenZeppelin — это игра, в которой геймерам предлагается найти и использовать уязвимости безопасности в смарт-контрактах, чтобы перейти на следующий уровень.

Компания также предоставляет бесплатные услуги, такие как «Defender», который помогает проектам автоматизировать администрирование смарт-контрактов, предлагая безопасную и частную инфраструктуру транзакций, создание автоматизированных сценариев и многое другое.

Trail of Bits

• Количество проектов: более 500 (только для аудита безопасности блокчейна)
• Общая MCAP портфеля: $25 млрд+
• Основные клиенты: yearn.finance, LooksRare, Acala, Balancer, Nervos
• Поддерживаемые блокчейны: Ethereum, Tezos, Polkadot, Arbitrum, Polygon и т. д.
• Количество проверенных проектов на Rektboard: 0
• Общее количество rekt: 0

Компания Trail of Bits, основанная в 2012 году, является гигантом индустрии кибербезопасности с обширным списком известных клиентов, таких как Adobe, Microsoft, Stripe, Reddit, Zoom, Airbnb и т. д.

У фирмы есть три основных сервиса: Software Assurance, Security Engineering и Research and Development.

Под эгидой Software Assurance компания проводит аудиты безопасности для блокчейна, защиты программного обеспечения, безопасности инфраструктуры, моделирования угроз и криптографической проверки.

На данный момент компания провела аудит смарт-контрактов для таких отраслевых гигантов, как yearn.finance, LooksRare, Acala, Balancer, Nervos и других.

Команда Trail of Bits занимается не только безопасностью блокчейна; она также разрабатывает инструменты, которые помогают разработчикам и исследователям находить и устранять критические уязвимости. Одним из них является Manticore, эмулятор мультиконтрактов и мультитранзакций. Другие инструменты компании – Ethersplay, Slither и Echidna. Помимо исправления ошибок и программного обеспечения, фирма также предоставляет большую библиотеку работ с открытым исходным кодом и курсы обучения экспертов для обучения и углубления понимания людей в области обратного проектирования, анализа программ, тестирования на проникновение и т. д.

Consensys Diligence

• Количество проектов на борту: 100+
• Общая MCAP портфеля: $11 млрд+
• Основные клиенты: биржа 0x, Aave, Balancer, Uniswap
• Поддерживаемые блокчейны: Ethereum
• Количество проверенных проектов на Rektboard: 1
• Общая сумма rekt: $1,3 млн

Consensys фокусируется на проверке передовых блокчейн-приложений и программного обеспечения для экосистемы Ethereum. Однако ее флагманский продукт для кибербезопасности ConsenSys Diligence представляет собой комплексный инструмент анализа безопасности, предназначенный для глубокого анализа смарт-контрактов.

С ConsenSys Diligence проекты могут гарантировать, что их приложение Ethereum готово и безопасно. Этот результат достигается за счет сочетания инструментов анализа безопасности блокчейна и команды опытных аудиторов смарт-контрактов.

За годы работы компания успешно защитила более 100 блокчейн-компаний и раскрыла более 200 проблем. 0x exchange, Aave, Balancer и Uniswap — вот некоторые из проектов, которые фирма проверила.

Помимо аудита безопасности, компания предоставляет две другие услуги, известные как Fuzzing, служба, которая позволяет пользователям находить ошибки сразу после написания своей первой спецификации, и Scribble, язык спецификаций и инструмент проверки во время выполнения, который переводит высокоуровневые спецификации в код Solidity.

Один из клиентов Consensys, The Big Combo (Growth DeFi), стал жертвой эксплойта. Злоумышленник воспользовался ошибкой, чтобы заставить контракт стейкера принять пару ликвидности, содержащую поддельный токен, и смог похитить 1,3 миллиона долларов ликвидности.

Kudelski Security

• Количество подключенных проектов: 200+
• Общий MCAP портфеля: $230 млрд
• Основные клиенты: Binance, Solana, Crypto.com, Input Output, Monero, Zcash
• Поддерживаемые блокчейны: Ethereum, BNB Chain, Solana, Cardano, Cosmos Tendermint
• Количество проверенных проектов на Rektboard: 0
• Общее количество rekt: 0

Kudelski Security — швейцарская компания по кибербезопасности, которая предоставляет инновационные решения и консультационные услуги, чтобы помочь организациям повысить свою кибербезопасность.

Компания была основана два года назад, но уже работала с некоторыми из самых известных имен в секторе криптовалют. Ее клиентами являются Binance, Solana, Crypto.com, Input Output, Monero и Zcash.

На сегодняшний день компания провела более 200 аудитов безопасности, обеспечила рыночную капитализацию на сумму более 230 миллиардов долларов и проверила более 500 000 строк кода.

Помимо услуг по обеспечению безопасности блокчейна, компания предоставляет консультационные услуги, оптимизацию технологий, управляемую безопасность, управляемое обнаружение и реагирование, а также реагирование на инциденты.

ChainSecurity

• Количество подключенных проектов: 85+
• Общая MCAP портфеля: $17 млрд
• Основные клиенты: yearn.finance, Maker, Compound, Rarible, Curve, Kyber network
• Поддерживаемые сети: Ethereum
• Количество проверенных проектов на Rektboard: 0
• Общая сумма rekt: 0

ChainSecurity возглавляют эксперты по безопасности из известного университета ETH Zurich. Компания работала с более чем 85 крипто-организациями и признанными корпорациями, включая yearn.finance, Maker, Compound, Rarible, Curve, Kyber network, и помогла PwC в Швейцарии улучшить свои возможности аудита смарт-контрактов.

На сегодняшний день компания застраховала активы на сумму более $17 млрд.

ChainSecurity также разработала автоматизированную платформу аудита, которая позволяет проектам анализировать смарт-контракты и защищать свои активы. Платформа компании выполняет оценку безопасности, выявляя уязвимости в системе безопасности и проверяя функциональную правильность смарт-контрактов и блокчейн-проектов.

Кроме того, ChainSecurity предлагает автоматический анализ безопасности смарт-контрактов Ethereum.

PeckShield

• Количество проектов: 50+
• Общая MCAP портфеля: $26 млрд+
• Основные клиенты: EOS, Aave, Tron, Nervos, Harmony, Neo, Maker, OlympusDAO, Pancakeswap
• Поддерживаемые блокчейны: Ethereum, BNB Chain, EOS, Tron, Harmony, NEO
• Количество проверенных проектов на Rektboard: 8
• Общая сумма rekt: $132 млн

PeckShield — китайская аудиторская и охранная фирма, основанная в 2018 году. Члены ее команды разбросаны по всему миру и имеют обширный опыт работы в области безопасности и в различных областях экосистемы блокчейна.

Компания начала набирать обороты после того, как обнаружила такие проблемы, как лазейка BatchOverflow в смарт-контракте Ethereum. В настоящее время PeckShield входит в тройку лучших в мире по программе Ethereum Bounty.

Фирма является лидером в предоставлении полных решений безопасности для пользователей блокчейна и провела аудит таких известных в отрасли компаний, как Aave, EOS, Tron и других.

С помощью своих различных услуг, таких как тестирование на проникновение, мониторинг угроз, DAppTotal и CoinHolmes, компания стремится обеспечить сквозную защиту для всех пользователей блокчейна.

Компания также предоставляет информацию для общественности посредством частых обновлений в своем аккаунте в Твиттере с последними новостями о кредитных операциях, массовых проскальзываниях, ковриках и т. д.

В общей сложности PeckShield 8 раз появлялся в таблице лидеров Rekt с общим убытком более $132 млн. Один из проверенных PeckShield протоколов, Popsicle Finance, стал жертвой взлома на $20 млн. Злоумышленнику удалось воспользоваться этой уязвимостью, обманув пул ликвидности на Popsicle Finance и заставив его поверить в то, что причитающиеся им сборы равны общей сумме TVL для всего пула. Другие эксплойты проверенных компанией протоколов включают Alpha Finance (совместный аудит с Quantstamp), MonoX (совместный аудит с Halborn), Harvest Finance (совместный аудит с Haechi), XToken, Superfluid и Value DeFi.

Заключение

Хотя аудит смарт-контрактов важен, его не следует воспринимать как волшебное решение для предотвращения всех форм взлома.

Аудит смарт-контрактов следует рассматривать как часть процесса, который включает в себя постоянное совершенствование.

После того, как проект прошел аудит, разработчики все равно должны приложить усилия, чтобы убедиться, что результаты учтены, и они применяют правильные методы безопасности, чтобы свести к минимуму возможность будущих уязвимостей.

Прежде чем пользователи смогут доверять смарт-контрактам, разработчикам все еще необходимо убедиться, что они работают должным образом. Это также означает проведение тестов безопасности, специфичных для протокола.

Наличие активной программы Bug Bounty после аудита безопасности также важно. Вместо того, чтобы полагаться на одного специалиста по безопасности, программы Bug Bounty привлекают для улучшения базовой безопасности экспертов со всего мира с разным опытом и различным уровнем знаний. Стимулирование глобальной сети экспертов для проверки смарт-контрактов на наличие ошибок гарантирует, что все активы в области будут тщательно проверены.

В целом, проведение аудита безопасности, безусловно, очень полезно, чтобы отсеять любые потенциальные проблемы и помочь проекту обрести определенный уровень доверия, и пользователям всегда рекомендуется выбирать аудитора с хорошей репутацией и проверенным послужным списком.