ブロックチェーンを活用したシステムにおいては、スマートコントラクトを活用するのが一般的です。スマートコントラクトは常に攻撃者に晒されており、脆弱性が存在する場合には不正な操作をされてしまうなどの危険性があります。
例えば、パブリックブロックチェーンであるEthereumではスマートコントラクトの脆弱性を突かれ、スマートコントラクト内に保持された暗号資産(Ether)が大量に流出したという事件がありました。スマートコントラクトには従来のWebアプリケーションやスマートフォンアプリケーションに適用されるセキュアコーディングプラクティスとは異なるセキュリティプラクティスがあり、それを知らないままにスマートコントラクトを実装した場合、リリース後に攻撃されてしまうという事が起こりえます。
また、スマートコントラクトは一度ブロックチェーン上に流してしまうと修正が出来ないため、従来のシステムよりもリリース前に如何に脆弱性を潰し込めるかという点が重要なポイントです。スマートコントラクト診断では脆弱性を抱えたスマートコントラクトを実装していないか弊社独自の観点でセキュリティ診断を実施します。
スマートコントラクトに対して、ソースコードの静的解析をトリガーに問題を検出し、弊社プライベートネット内での動的解析による追認を組み合わせることで、高精度な診断を実施します。
特長
- 弊社独自の診断項目にもとづき、各種脅威を想定した観点でスマートコントラクトに対する診断を実施
- 主に海外で整理されているスマートコントラクトのセキュリティプラクティスをベースに弊社独自の診断項目を準備
- スマートコントラクト独自の脆弱性が潜んでいないか確認
- その他オーバーフロー脆弱性などの一般的なセキュアコーディング観点の脆弱性診断も併せて実施
- スマートコントラクト開発前後のアドバイスも可能
- ブロックチェーンとスマートコントラクトに精通したエンジニアが担当
※特許取得済み「特許第6952506号」
主な診断項目
- 不正な仮想通貨引き出し
- 関数の不正呼出しによるマスタデータの更新
- トランザクション実行順序操作による意図しない実行結果の誘発(例:管理者が想定しない値段で決済が成立)
- 悪意のあるマイナーによる実行結果の操作(例:ゲームに必ず攻撃者が勝つ)
- トランザクションからの情報漏洩
- 原子性考慮漏れによるデータ不整合(例:未払いにも関わらず支払い済みステータスとなる)
- 脆弱性発生時の対策考慮漏れによる永続的な攻撃を受ける危険性
- NFTの所有権限を不正取得
- NFTの不正鋳造(不正Mint)が可能
対象プラットフォーム
Ethereum
Hyperldger Fabric
※その他プラットフォームに関しては要相談。対象プラットフォームは随時拡大予定
対象言語
Solidity、Go、Java
※その他言語に関しても応相談
価格
個別お見積 ※スマートコントラクト毎のお見積です。
関連情報
