監査サービス

4つの観点で、本当の攻撃面をカバーする

オンチェーンのコントラクトからオフチェーンのインフラまで、攻撃者は最も弱い一点だけを突きます。私たちはあなたのプロジェクトをひとつの完成したシステムとして監査します。スマートコントラクト、ビジネス・経済モデル、オフチェーンインフラ、ブラックボックス・ペネトレーション。シニアセキュリティエンジニアが判断を主導し、umibit AI がカバレッジを担保します。

📜

スマートコントラクト・ホワイトボックス監査中核

コントラクトコードは、攻撃者が真っ先に狙う場所です。ソースコードと照らし合わせ、コントラクトのロジックを一行ずつ精査します。アクセス制御と権限、リエントランシー、整数演算、外部呼び出し、イベントと状態の整合性、アップグレード可能性、Gas とロジックの正しさ。umibit AI がまず高カバレッジで一次スクリーニングを行い、シニアセキュリティエンジニアが一件ずつ悪用可能性を確認し、PoC を作成します。

アクセス制御の欠如 / 誤った修飾子AI
リエントランシー(ERC-777 コールバック、fee-on-transfer + 外部呼び出し)AI人工
整数オーバーフロー / アンダーフロー、unchecked ブロックAI
未検証の外部呼び出し戻り値、低レベル callAI
approve のレースコンディション / 承認管理AI人工
アップグレード可能なコントラクト / プロキシ:ロジックがひそかに差し替えられないかAI人工
⚖️

ビジネスロジックと経済モデルの監査最も高くつく落とし穴

最も高くつく脆弱性は、構文ではなく設計に潜むことが多く、AI ではカバーしきれません。シニアセキュリティエンジニアが人手で判断します。プロトコルの設計意図とコード実装が一致しているか、トークン経済とインセンティブにアービトラージ/操作の経路がないか、オラクル・フラッシュローン・MEV のリスク、ガバナンスと権限の中央集権リスク。

設計意図 vs コード実装のかい離人工
トークン経済 / インセンティブ設計におけるアービトラージと操作の経路人工
リフレクション / fee-on-transfer の端数処理と外部プロトコルとの互換性人工
流動性:LP がロックされているか、プールを引き上げて持ち逃げできないか人工
オラクル依存 / フラッシュローン / MEV リスク人工
ガバナンスと重要権限の中央集権リスク人工
🖧

オフチェーンインフラのセキュリティ見落とされがちな一点

コントラクトの外にある攻撃面も、同じく致命的です。バックエンドサービスと API の認証、鍵管理、管理画面、RPC ノードの設定。オンチェーンとオフチェーンをひとつのシステムとして監査し、「コントラクトは安全なのに、秘密鍵をすべて盗まれる」事態を防ぎます。

バックエンドサービスと API の認証 / 権限昇格AI人工
鍵管理と署名サービス人工
管理画面と運用権限AI人工
RPC ノードとインフラの設定AI人工
鍵の漏洩 / ハードコードされた認証情報のスキャンAI
🎯

ブラックボックス / ペネトレーションテスト実戦の視点

攻撃者の視点に立ち、ソースコードに依存せずに、デプロイ済みのシステム・dApp フロントエンド・公開インターフェースに対して攻撃面テストを行います。決定論的なプローブで精度を優先し、網羅性は制御下の自律 agent に任せます。クライアントの書面承認が必要です。

dApp フロントエンドと公開 API の攻撃面AI人工
偵察 / 露出面と設定上の弱点AI
インジェクション / 権限昇格 / SSRF などの Web 脆弱性プローブAI
自律ペネトレーション agent による深い悪用検証AI人工
コンプライアンスに関する注記

ブラックボックス / ペネトレーションテストは、デプロイ済みのシステム・dApp フロントエンド・公開インターフェースに対して能動的な探索を行うものであり、クライアントの書面承認を受けた場合にのみ実施します。自律的な悪用検証はすべて制御された範囲内で行い、承認の境界を越えるリクエストは一切発しません。

検証に耐える監査に、コントラクトを託す

コントラクトの範囲とスケジュールをお知らせください。監査プランとお見積もりをご提示します。最終版レポートにはバージョン・コントラクトアドレス・日付を添え、誰もが独立して検証できます。