我们提供什么
覆盖 Web3 安全全链条,从代码到链上资金
智能合约审计
静态分析 + 人工逐行 + Foundry PoC + 模糊测试,公开可验证报告。覆盖 DeFi、借贷、跨链桥、质押、NFT。
被盗资产追踪与追回
钱包或项目被盗?我们顺链追踪资金流向、定位交易所落点,协助冻结、对接律所与执法,最大化追回可能。
链上调查 / 取证
投前尽调、Proof-of-Reserve 打假、识别貔貅与假稳定币,出具可供律所/执法采用的取证报告。自研情报库支撑。
渗透测试 / 漏洞赏金
以攻击者视角做端到端攻防建模,验证真实可利用性;为项目方设计赏金计划与上线前复审。
我们的技术能力
不是跑个工具就出报告 —— 工具只是起点
工具 + 人工双层
Slither / Foundry / Echidna / 形式化验证打底,真正值钱的业务逻辑漏洞靠人脑攻击建模。
对抗性验证
每个候选漏洞都要么写 PoC 坐实、要么手撕证伪。我们公开“排除了哪些攻击”,而不只是说“没问题”。
自研链上情报库
数万标注地址 + 数十万钓鱼域名,追踪资金时直接识别交易所 / 混币器 / 已知骗子。
AI 增强工作流
AI 编排工具与知识库,把审计效率拉高,但每条结论都经人工复核 —— 不出“AI 泔水”。
我们怎么干
一套可复现的工作流 —— 审计、取证、追回、渗透都适用,每步都有产出
接洽与范围界定
明确目标与边界:合约范围 / 被盗交易 / 取证对象,锁定信任假设与威胁模型。
工具 + 人工分析
自动化扫描与链上追踪打底,再由人工逐层辨真伪、过滤误报、做业务逻辑攻击建模。
对抗性验证 / PoC
每个怀疑都写可复现 PoC 坐实、或手撕证伪;追回场景则核实资金落点与可行路径。
报告与复审交付
每条结论绑定位置、影响、证据与修复 / 处置建议,公开可核对,并附复审。
关于 DuoLaSafe
我们系统研究过行业头部(CertiK、Salus、慢雾 SlowMist、BlockSec、Trail of Bits)的方法论与工具栈,取其所长,聚焦华语与全球 Web3 项目。我们相信:在被骗子与盖章式审计污染的市场里,最强的差异化就是——敢公开、可验证、每条都有 PoC。
公开案例
公开、可点开核对的真实案例 —— 每份报告都能溯源