
Veridion — это open-source платформа для комплексного аудита безопасности смарт-контрактов, разработанная VeridionLabs. Она объединяет статический анализ, AI-ассистент для объяснения уязвимостей и блокчейн-верификацию результатов через сеть Stellar Soroban. Решение предназначено для разработчиков DeFi-протоколов и аудиторов, позволяя автоматизировать проверку кода на 50+ типов уязвимостей с возможностью расширения через плагины.
Кратко: ключевые факты
- VeridionLabs анонсировала open-source платформу для аудита смарт-контрактов 12 июня 2024 года
- Платформа обнаруживает 50+ типов уязвимостей через модульную систему плагинов
- AI-слой поддерживает OpenAI и Anthropic для генерации объяснений и исправлений
- Все аудиты верифицируются в блокчейне Stellar Soroban для обеспечения неизменности
- Проект использует современный стек: Next.js 14, NestJS, Prisma и Turborepo
- Для запуска требуется Node.js ≥20, pnpm ≥9 и Docker
- Поддерживает RBAC (ролевой доступ) и JWT-аутентификацию для корпоративного использования
- Включает встроенный генератор отчетов с поддержкой PDF/HTML/Markdown/JSON
Архитектура и технологический стек
Veridion построена как монопрепозиторий с чётким разделением модулей. Фронтенд использует Next.js 14 с shadcn/ui, бэкенд — NestJS с Prisma и PostgreSQL. Блокчейн-интеграция реализована через Stellar Soroban на Rust.
Ключевые компоненты:
- scanner-core: ядро сканера с плагинной архитектурой
- ai-engine: абстракция для работы с AI-провайдерами
- report-generator: генератор отчётов в 4 форматах
- contracts/: смарт-контракты для верификации на Soroban
- auth/: модуль аутентификации с поддержкой JWT и RBAC
- parser/: интеллектуальный парсер кода смарт-контрактов
Производительность и масштабирование
Использование Turborepo позволяет ускорить сборку на 40% по сравнению с традиционными подходами. Redis и BullMQ обеспечивают обработку до 1000 аудитов в час при использовании кластерной конфигурации.
Как работает аудит в Veridion
Платформа выполняет трёхэтапную проверку: статический анализ кода, AI-оценку рисков и запись результатов в блокчейн. Сканер использует 50+ встроенных правил безопасности, расширяемых через плагины без модификации ядра.
Процесс аудита:
- Загрузка кода смарт-контракта (поддержка прямого импорта из GitHub/GitLab)
- Сканирование модулями безопасности с параллельной обработкой
- AI-анализ критичности уязвимостей с оценкой вероятности эксплуатации
- Генерация отчёта с рекомендациями и примерами исправлений
- Фиксация хеша аудита в Stellar Soroban с timestamp и цифровой подписью
Примеры обнаруживаемых уязвимостей
- Reentrancy атаки
- Integer overflow/underflow
- Небезопасные вызовы delegatecall
- Уязвимости oracle manipulation
- Некорректная обработка gas limit
- Фронтраннинг транзакций
Сравнение с аналогами
| Критерий | Veridion | Slither | MythX |
|---|---|---|---|
| Открытый код | Да | Да | Нет |
| AI-анализ | Да | Нет | Частично |
| Блокчейн-верификация | Stellar Soroban | Нет | Нет |
| Поддержка плагинов | Да | Ограниченная | Нет |
| Мультиязычность | Solidity, Rust | Только Solidity | Solidity, Vyper |
| Корпоративные функции | RBAC, SSO | Нет | Премиум-версия |
Как начать использовать платформу
Для локального развёртывания Veridion требуется Node.js 20+, pnpm 9+ и Docker. После клонирования репозитория инфраструктура запускается одной командой docker-compose.
Шаги установки:
- git clone https://github.com/veridion/veridion.git
- pnpm install
- docker compose up -d postgres redis
- pnpm db:migrate
- pnpm dev
Конфигурация для продакшена
Для промышленного использования рекомендуется:
- Настроить кластер PostgreSQL с репликацией
- Использовать Redis Sentinel для отказоустойчивости
- Включить rate limiting на API
- Настроить мониторинг через Prometheus/Grafana
Вопросы и ответы
Какие языки смарт-контрактов поддерживает Veridion?
Платформа работает с Solidity и Rust-контрактами для Soroban. Поддержка новых языков добавляется через плагины.
Как работает верификация аудитов в блокчейне Stellar Soroban?
Veridion записывает хеш отчёта и метаданные аудита в смарт-контракт на Soroban, обеспечивая неизменность и проверяемость результатов. Каждая запись включает:
- Хеш SHA-256 отчёта
- Цифровую подпись аудитора
- Метки времени
- Идентификатор версии сканера
Можно ли использовать Veridion для коммерческих проектов?
Да, платформа распространяется под лицензией MIT и может использоваться в коммерческих продуктах без ограничений. Для корпоративных клиентов доступны:
- Поддержка SSO (OAuth2/SAML)
- Интеграция с CI/CD pipelines
- Кастомные правила аудита
Какие AI-провайдеры поддерживаются платформой?
Veridion интегрируется с OpenAI и Anthropic через единый API-слой. Добавление новых провайдеров возможно без изменения кода ядра. В будущем планируется поддержка:
- Llama 3
- Claude Opus
- Локальных моделей через Ollama
Как платформа обрабатывает false positives?
Veridion использует многоуровневую систему валидации:
- Статический анализ с перекрёстной проверкой правил
- AI-верификация контекста уязвимости
- Возможность ручного подтверждения/отклонения
- Система обратной связи для улучшения detection rate