⇐ Back to the beginning of the blog

Skyfchain ICO: review, audit

This report contains an audit of ICO Skyfchain, conducted in CryptoB2B on July 30, 2018. Were studied the smart cotract, methods of collecting money, protecting investors rights, honesty and publicity of the process. As a result, gross violations of any aspects of the ICO have been identified. For example, the collection of money is carried out in suspicious locations, there are facts of a huge software wind up of monetary transactions, a smart contract is announced, but it is only a screen and in fact does not take any part in the ICO. Overall technical level of the project: extremely bad.

img 5b5e713cc0d88 - Skyfchain ICO: review, audit

Smart Contract

Addresses related to ICO:

A smart contract contains an infinitely large number of ways, when the founder (if desired) can select / not pay tokens to the investor, and also keep as many of the tokens within Hardcap as he want. Usually such ICOs are classified as fake, where tokens are once emitted into the founder’s wallet and then somehow distributed. Several cosmetic techniques have been added here, somehow ennobling such a gross violation of the rights of the investor.

A smart contract creates 100% of tokens for different wallets at once:

  •         528 million – wallet “for ICO sale”
  •         18 million – wallet “bounty”
  •         240 million – wallet “team”
  •         120 million – wallet “community development”
  •         180 million – wallet “network development”, partly with freezing for 2 years, partly with the ability to take them immediately
  •         114 million – wallet “reserve” with a freezing for about 1 year

Further, it is supposed to somehow bypass some management systems to raise money (and not a smart contract), and after payments it is supposed to transfer tokens from the personal wallet of the founder (with 528 million tokens) to the next investor in the volume of its acquisition.

At the end of the ICO, it is assumed that the founder must call the finalize () function and burn the remaining tokens.

The simplest thing you can think of is that the founder does NOT call the finalize function and all the remaining tokens remain to him. No way to force the founder to do this – no. In normal systems, when the collection of money carries out a smart contract on its account, the founder is forced to call finalize if he wants to receive money from this contract. The similar logic of the smart contract work stands next:

  • The developer of the smart contract and the founders of the project viciously scoff at the ideology of the blockchain, where no one should promise anything to anyone. The phrase “We promise to burn unsold tokens” is a profanation of the idea of the blockchain and demonstrate to everyone how and how wrong the founder imagines the ICO, the procedure of honest exchange of money for tokens, and protection of investors rights.
  • It seems that at least Hardcap on tokens of 1.2 billion can not be overcome / faked. However, such deception is easy, if the founder wants. Investors at the time of payment send money to extraneous addresses (not to the address of the discussed smart contract). Therefore, in response to them, you can send absolutely any tokens, from another smart contract.
  • In the interval between the creation of 528 million tokens in the wallet “For sale at ICO” and until the finalization there are no checks and controls what the founder does. Even if the founder calls finalize (), but until that moment the founder could take as many tokens as he wished. This would indirectly leave more tokens than is required for all other types of wallets.
  • The list continues to be meaningless, because the founder conducts the ICO bypassing the smart contract and is therefore not limited by any limits. If there was some code in a smart contract that could be studied, an audit would be done. The current situation is characterized by virtually no code, which makes its audit simply impossible. The code that is given on the link is a simple screen and does not have any relation to the ICO.

Transaction analysis https://etherscan.io/txs?a=0x5dd0815a4cf119ad91ba045bbbf879f3f7de3c68& states, that there is mainly used the distribution of tokens for AirDrop and other marketing programs.

Each transaction uses 1 token address. The smart contract developer has such a low qualification that he does not suspect the existence of arrays and the ability to send tokens at once to 100-200 recipients in one operation. This number of transactions is meaningless and harmful for Ethereum – they do nothing, hammering the lock with garbage in the style of CryptoKitties.


On other sites was found information that the project has Softcap. It’s a lie, it’s missing. On the website of the project information is also not there. Other auditors can use the archive.org site to find out how the founders of the project announced the ICO at the beginning of the fees and whether there is anything suspicious here.

 

Investors Rights

Unfortunately, unlike the infinitely large rights of the founder, investors have the same zero rights. And, because of the lack of code, it is impossible to point out specific violations of rights, everything can happen:

  • the procedure for obtaining money is entirely not related to the charging of tokens
  • the founder does the charging of tokens solely on his own will and can choose any bonuses at the same time
  • investors have no guarantee that other investors (or founders) have not received tokens for critically unprofitable at the first price / bonus
  • the larger transfer a big investor will do, the more he can count on a larger bonus in the negotiation process (we recall that the smart contract that regulates it is not available at all, you can trade like in the market)
  • the investor can not defend himself or find out exactly which amount of tokens after the end of the ICO are left by the founder

Enumerate threats to the investor does not make sense because of the actual absence of a smart contract, which somehow organizes the process of selling tokens.

 

Метод сбора денег

Как было замечено, деньги собираются мимо смарт контракта. При этом используются индивидуальные адреса для BTC:

img 5b5e6abbea523 - Skyfchain ICO: review, audit

При проверке в блокчейне транзакций – их там не оказывается, т.е. сбор действительно идет на персональный адрес, генерируемый под каждого инвестора.

Когда Личный кабинет выдает индивидуальный кошелек (а не общий) для оплаты инвестору, у того нет никаких инструментов проверить, корректно ли это. Когда сборы поступают на единый кошелек для каждого блокчейна, то перед оплатой его можно проверить – в телеграм канале проекта, в почти уже умершим Bitcointalk, в Белой бумаге, в других местах.

Если случится одно из следующих событий:

  • хакер полностью подменил алгоритм генерации всех кошельков и закрытых ключей к ним
  • хакер выборочно редким инвесторам подменяет кошельки, чтобы его не сразу поймали
  • нелояльный сотрудник (программист) или другие лица (сотрудники хостера) делают тоже самое (массовую замену или тайную, понемногу)
  • программист ненамеренно сломал алгоритм выдачи кошельков (массово или выборочно)
  • программист / основатель потеряли базу закрытых ключей создаваемых кошельков (если они генерируются не по базовому BIP32 Root Key или аналогу)

то инвестор никак не сможет от этого защититься. Даже при всем его желании подобные методы организации Личного кабинета – порочная практика, связанная с облегчением работы программиста по идентификации платежей (грубо говоря – связано это с ленью, неопытностью разработчиков, дешевизной продукта, тотального игнорирования потребности быть готовым к аудиту).

Если случится описанная проблема, то инвестор никак не докажет, что именно сайт заставил его перевести деньги на неверный адрес. Когда в ICO применяется единый адрес сбора для каждого блокчейна, то в случае взлома это становится известно всем, особенно сотрудникам компании, довольно быстро (паника в чате, как правило). С индивидуальными кошельками – проблема может быть не обнаружена сколько угодно долго. Угроза потерь собранных денег – угроза благосостояния всего проекта.


img 5b5e6bc6169e0 - Skyfchain ICO: review, audit

Красивая картинка с сайта намекает, что деньги пользователя поступают в смарт контракт, включая USD(!). На деле, платежи поступают в хаотичные места, а картинка является лживой.

 

Пыль в глаза

img 5b5e60494d644 - Skyfchain ICO: review, audit

Личный кабинет намекает (рекламирует) на существование смарт контракта. Это попытка причислить продукту некоторые стандарты, протоколы, регламенты, когда на самом деле ничего подобного нет. Самый мягкий термин – недобросовестная конкуренция и обман пользователя относительно существования смарт контракта, который управляет ICO. Смарт контракт есть, только посторонний.

 

Двухфакторная авторизация

img 5b5e6939ba8c7 - Skyfchain ICO: review, audit

2FA – это полезная и нужная функция. Однако, согласно статистики, практически никто добровольно ее включать не будет. Следовательно:

  • это бесполезная функция
  • за нее было оплачено программистам
  • она создает иллюзию защищенности, когда никакой безопасности не добавляется

В ICO платформе от CryptoB2B нет бесполезной 2FA, но имеется принудительная и сразу включенная трехфакторная (многофакторная) авторизация, действующая незаметно для пользователя. Если хакер каким-то образом получит доступ к аккаунту пользователя, это не принесет ему результата.

 

Сверка операций

ETH сборы осуществляются на https://etherscan.io/txs?a=0x199F2202D878e9747b4f96cdf2c980D59d7C0969 и там тысячи подозрительных операций. Например, https://etherscan.io/txs?a=0x199F2202D878e9747b4f96cdf2c980D59d7C0969&p=68

img 5b5e66064dae3 - Skyfchain ICO: review, audit

Большое кол-во девяток (показано не целиком, см. инфо о каждой транзакции) говорит о программном характере этих операций. Когда инвестируют люди, суммы округляются иным образом. Так же люди не ставят одинаково низкую или постоянно повторяющуюся цену за транзакцию (последняя колонка). Сложно искать причины этих аномалий, наиболее вероятная причина – “аренда денег” или “прогон денег по кругу”, когда они поступают и убывают со счета, на который идет прием средств для ICO. Эти операции Личный Кабинет выдает за совершенные инвестиции в немыслимых объемах по кол-ву участников, которым не могут похвастаться и самые популярные ICO.

 

Виджет сбора денег

Как было замечено выше, процедура сбора устроена так, что нет никакой возможность проверить, сколько денег было собрано. Из-за этого можно подозревать основателей в любых махинациях, что выходит за рамки данного технического отчета.


Помимо этого, ужасающим образом организовано простое информирование о ходе компании. Вот, что видно на сайте:

img 5b5e6ba415f4f - Skyfchain ICO: review, audit

img 5b5e6ca2cc326 - Skyfchain ICO: review, audit

Нет возможности понять:

  • каков Hardcap
  • сколько раундов
  • сколько уже собрали (число $6M намекает на это, но оно не имеет комментария и может оказаться чем угодно)
  • сколько токенов всего к продаже
  • сколько токенов уже продано
  • и  т.д.

Данное представление о юзабилити дает возможность понять, как основатель проекта относится к качеству подачи информации. Из этого можно судить по качеству основного продукта, которая компания создаст в будущем.


img 5b5e6d816745e - Skyfchain ICO: review, audit

Внутри Кабинета фигурируют совершенно не поддающиеся логике числа:

  • сбор не $6M, а $5M (??)
  • завершено на 120% (??)
  • регистраций ~11000 человек, а плательщиков ~7000 человек (60%), чего не бывает в реальности (огромный шанс, что это вранье)
  • Succesfully processed 100%” – бесполезная информация, т.к. это число всегда будет в 100%
  • “Active investors 100%” – аналогично

Личный кабинет изобилует разными отчетами. Но:

  • Нет информации, сколько собрали ETH и BTC с указанием линка, где это можно проверить
  • Нет отчета по продажам токенов
  • Постоянное лукавство или вранье: например в TOP “самых богатых инвестиций” нет ссылок на транзакции и просто поиском их обнаружить не удалось
  • Огромное кол-во автоматически сгенерированных операций
  • Большое кол-во отчетов призвано пустить пыль в глаза и обеспечить солидность, тем временем основные показатели скрыты

 

Выводы

  • Низкое качество юзабилити сайта и Личного Кабинета по предоставлению финансовой информации
  • Грубые ошибки с числами и отчетами о ICO, смахивающими на мошенничество
  • Метод сбора денег намеренно затруднен, хоть какой-то аудит провести невозможно
  • Техническое качество кода смарт контракта – критично низкое
  • Регламент проведения ICO – на грани мошенничества
  • Отсутствие хоть какой-то защиты прав интересов инвесторов
  • Безграничные права основателя проекта над токенами и их распределением
  • Никаких следов 5 (или 6) млн долларов сбора не обнаружено (заметим, что не ясно, сколько они заявляют про сборы)
  • Никаких следов ~7000 покупателей токенов не обнаружено

Вся система построена так, что любой аналитик / аудитор сможет легко обвинить проект в мошенничестве. Не прозранчые механизмы сбора денег и распределение токенов – легкая основа для обвинений в чем-либо. Однако, в данном обзоре рассматриваются только технические принципы, а не мотивы основателя, поэтому никаких выводов (кроме самых явных глупостей) не делается. Документ представляет собой оценочное суждение его автора и в целом компания CryptoB2B не сомневается в благих намерениях основателей, а так же желает успехов в реализации проекта.

 

Технический рейтинг проекта Skyfchain

Описание основной технической идеи? Не оценивали: +0.
[-10=отстуствует, 0=нейтрально, +5=присутствует]

Найдено ли явное техническое вранье (мошенничество)? Найдено. -10.
[-10=найдено, 0=не оценивали, +3=позитивно]

Имеет ли отношение к блокчейну основные функции проекта? Не оценивали, +0.
[-10=не имеет, 0=имеет, +10=экосистема]

Адекватность продажи токенов, защита интересов инвесторов? Ужасающе (негативно), -10.
[-10=нарушения, 0=не оценивали, +5=честное ICO]

Качество кода, ошибки в смарт контракте? Низкое качество (негативно). -3.
[-10=найдены ошибки, 0=не оценивали и/или ошибок нет, +5=хорошее качество]

Открытость команды к проведению аудита и ответам на неудобные вопросы? Не анализировали, +0.
[-10=враждебность, 0=не проводили, +2=открыты к сотрудничеству]

Промежуточная оценка по формуле: -10-10-3 = -23 баллов. Числа меньше нуля или более 10 округляются до диапазона [0…10]. Итого: “-23” округляется до “0”.

Градации оценки:

  • -50 … -21 = экстремально плохо
  • -20 .. -10 = очень плохо
  • -9 … +0 = плохо
  • +1 … +3 = так себе
  • +4 … +9 = позитивно
  • +10 .. +20 = отлично
  • +21 и более = превосходно

Итоговый технический рейтинг cryptob2b для проекта Skyfchain: 0 из 10, оценка – экстремально плохо.

⇐ Back to the beginning of the blog