Defesa em camadas.
Confirmação dupla.
A maioria das ferramentas devolve uma lista de alertas e deixa a triagem com você. O motor Attestor faz o caminho inverso: cada achado de alto risco precisa ser confirmado por fontes independentes antes de chegar ao relatório.
Quatro camadas, zero atalho.
Pré-processamento
Todo o código é normalizado e mapeado. Identificamos os caminhos críticos, os pontos onde valor se move e onde há chamadas externas. É o terreno onde a análise vai cavar.
Análise estática
Ferramentas de base varrem o código como verdade de chão. Esta camada é forte em padrões conhecidos: reentrância, chamadas não verificadas, manipulação de tempo.
Validação por IA, em paralelo
Validadores especializados por classe de vulnerabilidade leem o contrato em paralelo. Cada um caça uma família de bugs. É aqui que entram os achados que a estática sozinha não pega: lógica de negócio, front-running, manipulação de oráculo.
Agregação com confirmação dupla
Um achado de severidade alta ou crítica só sobe ao relatório quando confirmado por pelo menos duas fontes independentes. É a regra central que separa sinal de ruído.
As classes que importam.
Reentrância
Cross-function, cross-contract e read-only. O clássico que drena fundos quando uma chamada externa devolve o controle no meio de uma operação.
Aritmética
Overflow, underflow, casts inseguros, divide-before-multiply e erros de arredondamento em cálculos financeiros.
Lógica de negócio
O que ferramenta nenhuma pega: invariantes econômicas quebradas, front-running, manipulação de oráculo, ordem de operações. Depende de entender a intenção.
Assinatura e cripto
Malleability ECDSA, ecrecover devolvendo zero, replay sem nonce ou deadline, mau uso de precompiles. Bypass de assinatura significa drenar.
Controle de acesso
Modifiers ausentes, confusão entre quem chamou e a origem, initializers expostos em proxies, delegatecall com destino controlável.
Medido, não prometido.
O motor é calibrado contra um conjunto público de contratos com vulnerabilidades conhecidas. Os números são publicados, não inventados.
dos achados reportados eram reais
das vulnerabilidades conhecidas detectadas
equilíbrio entre precisão e cobertura
Conjunto de calibração: SmartBugs Curated (143 contratos). A camada de IA fecha as lacunas da estática em aritmética, lógica de negócio e front-running.