услуги cryptofoundry
Безопасность и аудит
Аудит безопасности ПО, проверка зависимостей, защита API-ключей и усиление инфраструктуры для крипто-проектов.
Работа над безопасностью, выросшая из десятилетия эксплуатации крипто-инфраструктуры, — а не «театр галочек». Мы проверяем те места, где криптосистемы действительно ломаются больнее всего: обращение с ключами, цепочки зависимостей и разрыв между «работает» и «отказывает безопасно».
Что мы проверяем
- Код приложений и бэкенды на Node.js — в первую очередь пути, через которые проходят средства
- Дерево зависимостей и supply chain: install-скрипты, тайпсквоттинг, незафиксированные версии, заброшенные пакеты
- Обращение с API- и биржевыми ключами: права, хранение, ротация и кто может их прочитать
- Управление секретами: утечки через переменные окружения, логи, CI и бэкапы
- Инфраструктура и открытые наружу сервисы: что слушает порты и что доступно публично, хотя не должно
- CI/CD и пути развёртывания: кто и что может выкатить код, который двигает деньги
- Логирование и мониторинг: заметите ли вы взлом вообще
Как проходит аудит
- Сначала модель угроз. Одна сессия, чтобы понять, что атакующему на самом деле нужно от вашей системы — опустошить горячий кошелёк, украсть ключи, манипулировать ордерами, — чтобы глубина проверки следовала за реальным риском, а не за порядком файлов.
- Проверка. Ручной аудит кода и конфигурации силами инженеров, которые сами выпускают криптобэкенды в продакшен, — с помощью инструментов, но не сводящийся к выгрузке из сканера.
- Отчёт. Находки, ранжированные по эксплуатируемости и последствиям, каждая с конкретным исправлением — файл, строка и предлагаемое изменение, а не «рекомендуем усилить безопасность».
- Проверка исправлений. После патчей вашей команды (или наших) мы перепроверяем находки и письменно подтверждаем их закрытие.
Почему мы
Мы создали и поддерживаем критичную с точки зрения безопасности инфраструктуру ADAMANT: кошельки, ноды, боты и платёжные потоки, годами работающие в публичной среде. Наши находки из операционного опыта, а не из типового AppSec-шаблона.
Чего мы не продаём
Никаких сертификатов для галочки, запугивания ради допродаж и хранения ваших ключей. Если система в порядке, в отчёте так и будет: короткий честный отчёт лучше раздутого.
С чего начать
Опишите задачу — ответим по существу, с инженерной точки зрения.