Ir para o conteúdo
FinGuard

Relatório de avaliação de segurança

Veja como o FinGuard encontra, prova e verifica bugs

Uma avaliação completa de segurança AI em 7 camadas. Anonimizada — nome do projeto e endereços on-chain omitidos.

Segue o idioma do site · amostras anonimizadas · finguardaudit.com

Baixar relatórios de amostra com a marca

Amostras de auditoria anonimizadas com a marca FinGuard: nomes de projetos e endereços on-chain omitidos; achados e pontuações permanecem legíveis para você ver a qualidade real da entrega.

Auditoria de Smart Contract (amostra curta)

Layout de resumo de 12 páginas voltado ao cliente, preenchido com dados demo anonimizados.

12 páginasBaixar PDF

Auditoria técnica completa (amostra profunda)

Layout de entrega técnica de 21 páginas preenchido com dados demo anonimizados.

21 páginasBaixar PDF

Contrato auditado

DeFiVault Staking (anonimizado)

BSC · 0x7a…3F2c · Avaliado em 2026-07

Inicial
C
Após correção
A
1
Crítica
2
Alta
3
Média
4
Baixa

Defesa de 7 camadas — resultados camada a camada

L1Auditoria estática de código2 defeitos de precisão inteira e controle de acesso encontrados
L2Testes de Property & Invariant1 invariante de conservação de ativos quebrada
L3E2E / Pentest / Carga / ConsistênciaNenhum caminho explorável na superfície de chamada
L4Auditoria cruzada Multi-AI4 cérebros AI concordaram em 1 risco crítico
L5Red-Blue Teaming por IAExplorado no sandbox — US$ 1,42 mi drenados (evidência abaixo)
L6War Room de 5 cérebrosRevisão do war room: risco residual aceitável após correção
L7Monitoramento contínuo 7×24Monitoramento contínuo configurado para alertas pós-lançamento
L5 · Evidência de exploit em sandboxCRITICAL

Manipulação de preço de oracle → drenagem do pool via flash loan

Não é "achamos que isso é arriscado" — o exploit foi de fato executado contra um fork da mainnet em um sandbox reforçado. O ataque teve sucesso e os fundos foram retirados.

Caminho do ataque

  1. Flash-borrow de 50.000 BNB — sem capital necessário
  2. Manipular um único preço spot de DEX para inflar o valor do colateral
  3. Tomar emprestado em excesso todo o USDT do pool contra o valor inflado
  4. Pagar o flash loan, lucro líquido $1,420,000
$ forge test --match exploit --fork bsc
[PASS] testExploit_OracleManipulation()
├─ flashLoan(50000 BNB) ✓
├─ manipulatePrice() price 312 → 1180 ✓
├─ borrowMax() drained 1,420,000 USDT ✓
└─ attacker profit: +1,420,000 USDT 💥 EXPLOIT CONFIRMED

Causa raiz

O colateral é avaliado a partir de um único preço spot de DEX, sem ponderação temporal (TWAP) nem agregação de oracle de múltiplas fontes.

Re-teste após correção

Após migrar para agregação dual-source Chainlink + TWAP, o mesmo script de exploit foi reexecutado: ataque falhou, zero fundos perdidos.

Motor exclusivo FinGuard

Ataque Monte Carlo guiado por AI

A AI planeja um espaço de busca de ataques de alto valor; em seguida, a amostragem Monte Carlo dispara milhões de entradas de exploit aleatórias em um sandbox reforçado — com rastreamento de cobertura e aprendizado por feedback a cada rodada, caçando os casos extremos que testes manuais nunca alcançam.

1,284,000
Amostras de ataque aleatórias
94.7%
Cobertura de branches
6
Casos extremos alcançados
1
Bug crítico encontrado

L4 · Veredito da revisão cruzada Multi-AI

Cérebro de segurançaMarcou manipulação de oracle como crítica
Cérebro financeiroConfirmou invariante de conservação de ativos quebrada
Cérebro de performanceNenhum novo risco de gas / DoS encontrado
Cérebro atacanteReproduziu um caminho de ataque lucrativo
Decisão do árbitro: 4 AIs independentes concordaram — não é falso positivo, julgado como vulnerabilidade crítica que deve ser corrigida.

Quer isso para o seu contrato?

Defesa completa de 7 camadas + red-teaming AI ao vivo. Preço fixo de 1599 USDT, resultados no mesmo dia.