Инструменты для аудита смарт-контрактов

Как известно, существует несколько способов аудита смарт-контрактов. Это может быть ручная работа специалистов по безопасности и аудиту кода.

Человек вручную может провести статический аудит, проанализировав код, а также используя уже готовые инструменты для анализа, например, различные специализированные решения.

Статический анализ кода

Анализирует код без его выполнения.

• Slither (Solidity)
  • Один из самых популярных инструментов от Trail of Bits.
  • Быстро анализирует код и выявляет распространённые уязвимости.
  • GitHub: https://github.com/crytic/slither
• Mythril
  • Анализатор байткода и Solidity-кода.
  • Поддерживает символическое выполнение (symbolic execution).
  • GitHub: https://github.com/ConsenSys/mythril
• SmartCheck
  • Преобразует Solidity в XML и анализирует по правилам.
  • GitHub: https://github.com/smartdec/smartcheck

Динамический анализ / тестирование во время исполнения

Также специалист может запустить смарт-контракт в среде исполнения. Таким образом он сможет увидеть, как контракт ведёт себя в реальном времени, выполнить тестовые операции так, как будто данный контракт уже загружен в блокчейн и функционирует.

Например, можно использовать следующие инструменты:

• Echidna (от Trail of Bits)
  • Инструмент для fuzz-тестирования смарт-контрактов на Solidity.
  • Отлично подходит для тестов безопасности.
  • GitHub: https://github.com/crytic/echidna
• Manticore
  • Символическое исполнение (symbolic execution) и анализ EVM.
  • Подходит для написания пользовательских анализов.
  • GitHub: https://github.com/trailofbits/manticore

Специалисты также используют 

Инструменты формальной верификации

Для более строгого доказательства корректности.

• Certora
  • Позволяет формально проверять поведение смарт-контрактов.
  • Часто используется в профессиональных аудитах.
• VerX
  • Автоматическая формальная верификация смарт-контрактов на Solidity.

Данные проверки должен выполнять человек, однако мы в SwapAuditor стремимся создать автоматизированный сервис аудита смарт-контрактов — https://swapauditor.com/ru/tools/smart-contracts/.

В данный момент мы разрабатываем сервис и ищем специалистов для совместной работы.

Если вы эксперт в области аудита смарт-контрактов и хотите проявить себя, применить свои знания и стать частью команды по развитию сервиса автоматической проверки, вы можете связаться с нами через форму обратной связи на сайте или написать на нашу почту.

Онлайн-сервисы и сканеры

Для быстрой проверки кода или развернутых контрактов.

Список компаний, в которые можно сделать запрос на аудит:

1. Cyberscope — полный спектр услуг по безопасности Web3: смарт-контракты, NFT, мониторинг угроз, KYC. Сайт: https://www.cyberscope.io/
2. Audita — ручной аудит + помощь в архитектуре, оптимизации газа, устранение уязвимостей. Сайт: https://audita.io/
3. InterFi Network — сочетание автоматизированных сканов и ручной проверки, поддержка разных сетей (Ethereum, BNB Chain, Polygon и др.), сравнительно доступные цены. Сайт: https://www.interfi.network/
4. Hacken — известная компания, которая выполняет аудит смарт-контрактов, имеет репутацию и множество завершённых проектов. Сайт: https://hacken.io/
5. Saulidity — автоматическое + ручное сканирование, многие цепочки и языки контракта, отчёты с акцентом на качество и полноту. Сайт: https://www.saulidity.com/
6. SmartContractAudits.com — площадка-маркетплейс, где можно отправить свой проект и получить предложения от разных аудиторских фирм / фрилансеров. Сайт: https://www.smartcontractaudits.com/

---

Инструменты / сканеры

1. Armur.ai — онлайн сканер уязвимостей для Solidity. Можно вставить код, получить предупреждения и рекомендации. Сайт: https://armur.ai/
2. SolidityScan (Alchemy / Credshields) — детектор уязвимостей в смарт-контрактах: сканирование, отчёты, API. Сайт: https://www.alchemy.com/dapps/solidityscan
3. SafeChain — полностью автоматический сканер: по адресу контракта, узнаёт уязвимости из SWC реестра и общие ошибки Solidity. Сайт: https://safechain.org
4. Oyente — один из первых анализаторов смарт-контрактов. Работает с EVM-байткодом. GitHub: https://github.com/melonproject/oyente

Хотим отметить интересную функцию аудита смарт-контрактов, встроенную в популярную биржу Binance в разделе Binance Alpha. Данный инструмент анализирует новые токены Web3, добавляемые на биржу. Чаще всего это мем-коины, которые Binance включает для упрощённой торговли пользователями.

Мы же хотим создать инструмент, который будет доступен на странице https://swapauditor.com/ru/tools/smart-contracts/ и позволит анализировать любые смарт-контракты.