cryptofoundry

Связаться с cryptofoundry

Расскажите, что вы хотите создать или автоматизировать.

Электронная почта
business@adamant.im
ADAMANT Messenger
Открыть в ADAMANT

услуги cryptofoundry

Безопасность и аудит

Аудит безопасности ПО, проверка зависимостей, защита API-ключей и усиление инфраструктуры для крипто-проектов.

Работа над безопасностью, выросшая из десятилетия эксплуатации крипто-инфраструктуры, — а не «театр галочек». Мы проверяем те места, где криптосистемы действительно ломаются больнее всего: обращение с ключами, цепочки зависимостей и разрыв между «работает» и «отказывает безопасно».

Что мы проверяем

  • Код приложений и бэкенды на Node.js — в первую очередь пути, через которые проходят средства
  • Дерево зависимостей и supply chain: install-скрипты, тайпсквоттинг, незафиксированные версии, заброшенные пакеты
  • Обращение с API- и биржевыми ключами: права, хранение, ротация и кто может их прочитать
  • Управление секретами: утечки через переменные окружения, логи, CI и бэкапы
  • Инфраструктура и открытые наружу сервисы: что слушает порты и что доступно публично, хотя не должно
  • CI/CD и пути развёртывания: кто и что может выкатить код, который двигает деньги
  • Логирование и мониторинг: заметите ли вы взлом вообще

Как проходит аудит

  1. Сначала модель угроз. Одна сессия, чтобы понять, что атакующему на самом деле нужно от вашей системы — опустошить горячий кошелёк, украсть ключи, манипулировать ордерами, — чтобы глубина проверки следовала за реальным риском, а не за порядком файлов.
  2. Проверка. Ручной аудит кода и конфигурации силами инженеров, которые сами выпускают криптобэкенды в продакшен, — с помощью инструментов, но не сводящийся к выгрузке из сканера.
  3. Отчёт. Находки, ранжированные по эксплуатируемости и последствиям, каждая с конкретным исправлением — файл, строка и предлагаемое изменение, а не «рекомендуем усилить безопасность».
  4. Проверка исправлений. После патчей вашей команды (или наших) мы перепроверяем находки и письменно подтверждаем их закрытие.

Почему мы

Мы создали и поддерживаем критичную с точки зрения безопасности инфраструктуру ADAMANT: кошельки, ноды, боты и платёжные потоки, годами работающие в публичной среде. Наши находки из операционного опыта, а не из типового AppSec-шаблона.

Чего мы не продаём

Никаких сертификатов для галочки, запугивания ради допродаж и хранения ваших ключей. Если система в порядке, в отчёте так и будет: короткий честный отчёт лучше раздутого.

С чего начать

Опишите задачу — ответим по существу, с инженерной точки зрения.

Связаться с cryptofoundry

Расскажите, что вы хотите создать или автоматизировать.

Электронная почта
business@adamant.im
ADAMANT Messenger
Открыть в ADAMANT