Smart Contract Audits
Unabhängige Sicherheitsprüfungen für Smart Contracts auf Ethereum, BNB Chain, Polygon, Arbitrum, Optimism, Base, zkSync, Solana, Aptos, Sui, StarkNet, TON und Near. Wir decken Solidity, Vyper, Rust, Move, Cairo und FunC ab. Das Audit kombiniert manuelle Zeile-für-Zeile-Überprüfung mit statischer Analyse (Slither, Aderyn, Mythril), eigenschaftsbasierter Fuzzing (Foundry Invariant-Tests, Echidna, Medusa) und ökonomischem Angriffsmodell für DeFi-Protokolle — Flash Loans, Oracle-Manipulation, MEV, Spendenangriffe, Governance-Übernahme.
Sie erhalten einen nach Schweregrad bewerteten Bericht mit reproduzierbaren Foundry- oder Anchor-Proof-of-Concept-Tests für jeden Kritischen und Hohen Befund, Empfehlungen zur Behebung, einen Re-Audit-Durchlauf nach Korrekturen und einen signierten Bericht, der für Börsennotierungen auf CEX und DEX geeignet ist. Das Audit-Badge und die Attestations-Block werden als separates Artefakt für Ihr README, Pitch-Deck und Börsenantrag geliefert.
Penetrationstests
Autorisierte Penetrationstests nach PTES-Methodik für Webanwendungen, REST-, GraphQL- und gRPC-APIs, mobile Anwendungen auf Android und iOS (statisches Reverse Engineering plus Laufzeitinstrumentierung via Frida), interne Active Directory Red-Team-Einsätze, Cloud-Infrastruktur auf AWS, Google Cloud und Microsoft Azure sowie Kubernetes-Cluster. Abdeckung umfasst OWASP Top 10 und OWASP API Security Top 10 sowie moderne Angriffsklassen — JWT-Key-Confusion, OAuth-Flow-Manipulation, Request Smuggling, GraphQL-Batching-Missbrauch, IAM-Privilegieneskalation, Container Escape.
Tool-Basis umfasst nmap, nuclei, Burp Suite, sqlmap, dalfox, ffuf, Frida, MobSF, Pacu, Prowler und kube-hunter sowie gezielte kundenspezifische Payloads pro Engagement. Jeder Kritische und Hohe Befund wird mit einem funktionierenden Proof-of-Concept geliefert; jeder Bericht enthält CVSS-Bewertung, Reproduktionsschritte, Beweise, Empfehlungen zur Behebung und einen Retest nach Korrekturen.
Smart Contract Entwicklung
Vom einzelnen ERC-20 Token bis hin zu vollständigen DeFi-Protokollen — AMMs, Kreditmärkte, Derivate, Yield Aggregatoren, strukturierte Produkte. Wir liefern Governance mit Timelocks und Multisigs, Oracle-Integrationen mit Chainlink, Pyth und RedStone, Cross-Chain Messaging via LayerZero oder Axelar sowie Account Abstraction via ERC-4337. Täglich abgedeckte Standards: ERC-20, ERC-721, ERC-1155, ERC-4337, ERC-4626 Vaults, ERC-2535 Diamond Proxies, ERC-6551 Token-gebundene Accounts, Solana SPL Token und Token-2022, Move-Ressourcen auf Aptos und Sui, Cairo-Speichermuster, TON Jettons.
Foundry-first Toolchain für EVM mit 90%-Testabdeckung und Zehntausend-Lauf-Fuzz-Baselines, Anchor und Solana CLI für SPL, Aptos und Sui CLI für Move, Scarb und Starkli für Cairo, Blueprint für TON. Übergabe beinhaltet verifizierten Quellcode auf Block-Explorern, Deployment-Skripte, Gas-Snapshots, NatSpec für jede öffentliche Funktion und eine Pre-Audit-Sicherheitsnotiz für den Auditor.
Wallet-Entwicklung
Custodial Wallets mit KMS-gestütztem Schlüsselmanagement, Non-Custodial Wallets mit Hardware-Integration für Ledger, Trezor und Keystone, Multisig-Deployments auf Safe (ehemals Gnosis Safe) und Squads auf Solana, eingebettete Wallets via Privy, Magic, Dynamic und Web3Auth sowie MPC-Wallets mit Lit Protocol oder Fireblocks SDK. Wir liefern iOS-, Android- und Web-SDKs als Scoped-Versionen sowie die Backend-Infrastruktur — Key Vault, Signatur-Service, Recovery-Flow.
Jede Wallet durchläuft vor dem Launch unseren eigenen Audit-Prozess, der die Benutzeroberfläche für Signaturen ebenso sorgfältig prüft wie die Contracts: Signaturanzeige, EIP-712 Typed Data Verifikation, Transaktionssimulation vor Signatur, Hardware-Wallet Round-Trip-Integrität. Compliance-Hooks für KYC-Integration, Sanktionsprüfung und Travel Rule Wiring sind für VASP-lizenzierte Projekte vorinstalliert.
Blockchain-Entwicklung
Maßgeschneiderte Layer-1-Chains (typischerweise Forks von Geth, Substrate oder Cosmos SDK mit projektspezifischen Anpassungen), Layer-2-Rollups über etablierte Stacks — OP Stack für Optimistic, Polygon CDK und zkSync ZK Stack für Zero-Knowledge, Arbitrum Orbit — sowie anwendungsspezifische Chains für Projekte, die souveränen Blockspace, eigene Gebühren-Token oder governance-gesteuerte Ausführungsregeln benötigen.
Wir integrieren alles rund um die Chain: Validator-Onboarding, Block-Explorer (Blockscout oder custom), kanonische Brücke zu Ethereum, Faucet, RPC-Infrastruktur, Monitoring-Dashboards auf Grafana und Prometheus, Oracle-Integration falls nicht nativ im Stack, sowie Betriebsanleitungen für Upgrades, Slashing-Events und Incident Response. Das Launch-Paket beinhaltet gesperrte Genesis-Konfiguration, ein abgeschlossenes Audit und dokumentiertes Validator-Onboarding.
dApp-Entwicklung
Full-Stack dezentrale Anwendungen in allen wichtigen Verticals: DeFi (AMMs, Kreditvergabe, Yield Aggregatoren, Derivate, Perpetuals, strukturierte Produkte), NFT (Marktplätze, Mint-Plattformen, Drop-Tools, Royalty-Splitter), GameFi (In-Game-Ökonomien, Asset-Tokenisierung, Marktplätze), Real-World Assets (tokenisierte Schatzwechsel, fraktionierte Immobilien, Rechnungsfinanzierung) und Infrastruktur-dApps (Oracle-Frontends, Bridge-UI, Indexer-Dashboards).
Frontend ist Next.js 14+ mit App Router und Server Components oder SvelteKit, wenn das Team es bevorzugt. Chain-Interaktion via wagmi v2 und viem für EVM und @solana/web3.js für Solana; Wallet-UX via RainbowKit, WalletConnect oder Privy. Indexer via The Graph, Goldsky oder Ponder. Backend (wenn benötigt) auf Fastify oder NestJS oder Hono in TypeScript oder Axum in Rust, mit PostgreSQL, Redis und ClickHouse für Analytics.
Mini-App-Entwicklung
Telegram Mini-Apps mit fast einer Milliarde monatlich aktiver Nutzer, Farcaster Frames v2 mit transaktionsfähigen Inline-Interaktionen und Discord-Apps, eingebettet in die Server, in denen Web3-Communities bereits leben. Mini-Apps senken die Nutzerakquisitionskosten um eine Größenordnung im Vergleich zu eigenständigen Web-Apps, da der Nutzer bereits authentifiziert, im Kontext und in einer vertrauenswürdigen Oberfläche ist.
Für Telegram liefern wir mit TON Connect (Tonkeeper, MyTonWallet) oder EVM-Wallet-Support via Web3Modal. Für Farcaster bauen wir transaktionsfähige Frames — Mint, Swap, Vote inline. Für Discord integrieren wir Slash-Commands, die an On-Chain-Aktionen gebunden sind (Claim, Vote, Gate). Das Backend übernimmt Webhook-Signaturprüfung, Anti-Replay, Ratenbegrenzung und Anti-Bot. Compliance-Hooks (Geo-Gating, Sanktionsprüfung) werden sauber für regulierte Produkte integriert.
LLM-Sicherheitsprüfung
Zielgerichtete Sicherheitsprüfung von Large Language Model-Deployments — Chatbots, Retrieval-Augmented Generation Pipelines, autonome Agenten und Model Context Protocol Server. Abdeckung umfasst OWASP Top 10 für LLM-Anwendungen: direkte Prompt-Injektion, indirekte Injektion über abgerufene Dokumente und Tool-Ausgaben, System-Prompt-Extraktion, Trainingsdaten-Leckage, Agent-Tool-Missbrauch mit außerhalb des Umfangs liegenden Tool-Aufrufen, Model-Denial-of-Service, Multi-Turn-Jailbreak-Ketten und Output-Handler, die Modelltext in RCE, XSS oder SQL-Injektion downstream verwandeln.
Tooling umfasst garak von NVIDIA, promptfoo, llm-guard, NeMo Guardrails und Microsoft PyRIT sowie gezielte Payloads, die auf den Kunden-Stack abgestimmt sind — Claude versus GPT versus Gemini versus lokal gehostetes Llama, Retrieval versus Agent versus Chatbot, Single-Turn versus Multi-Turn. Ergebnisse: nach Schweregrad bewertete Befunde mit Reproduktions-Prompts, Empfehlungen zur Härtung des System-Prompts, Output-Handler-Review mit Sink-Klassifikation und Retest nach Behebung.
Audit der KI-Pipeline
End-to-End-Audit der Produktions-KI-Pipeline, nicht nur des Modells isoliert. Wir prüfen die Integrität von Vektordatenbanken (Pinecone, Weaviate, Qdrant, pgvector — inklusive Embedding-Poisoning zur Indexzeit und Retrieval-Manipulation), Agent-Ausführungsschleifen (unendliche Rekursion, Tool-Call-Schleifen, unkontrollierte Kosten), Härtung der Modell-Deployment (private Endpunkte, IAM-Scopes, Ratenbegrenzungen, Geheimnisse in Prompts) und Output-Handling-Sinks, wo Modelltext in SQL, Shell, HTML-Rendering oder Code-Ausführung downstream fließt.
Retrieval-Augmented Generation ist 2026 die dominierende Angriffsfläche für LLM-Anwendungen: Indirekte Prompt-Injektion durch ein vergiftetes Chunk umgeht Ihren System-Prompt vollständig, Agent-Tool-Nutzung eskaliert sobald ein Tool eine feindliche Zeichenkette zurückgibt, und Embedding-Poisoning zur Indexzeit ist für Laufzeit-Abwehrmaßnahmen unsichtbar. Wir liefern ein Bedrohungsmodell, konkrete Proof-of-Concept-Angriffe, Härtungsempfehlungen und Erkennungsregeln in Sigma- und Semgrep-Format, die an Ihr SOC geliefert werden.
GEO — LLM Generative Engine Optimization
Generative Engine Optimization ist die Disziplin, Ihr Unternehmen in Antworten von ChatGPT, Claude, Perplexity, Gemini und der breiteren Generation KI-gesteuerter Suchprodukte zu positionieren. Die Mechanik unterscheidet sich von klassischem Google-SEO: KI-Engines belohnen strukturelle Muster (FAQPage-Schema, Hub-and-Spoke-Topologie, Named-Entity-Grounding, Faktendichte, llms.txt und llms-full.txt Veröffentlichung), nicht Link-Graph-Spam oder Keyword-Dichte. Die eigene Positionierung von Soken basiert auf diesem gleichen Playbook.
Engagements liefern ein Audit Ihres aktuellen KI-Zitations-Fußabdrucks über die vier großen Engines, eine Content-Roadmap mit Fokus auf spezifische hochintentionale Suchanfragen, Schema-Implementierung über Service, FAQPage, Organization und BreadcrumbList Typen, llms.txt Veröffentlichung und Zitations-Tracking gegenüber der Basislinie nach 30, 60 und 90 Tagen via Profound oder BotRank.
KI-Geschäftsintegration
Produktions-KI-Assistenten und Vertriebsagenten, die in die kundenorientierten Oberflächen Ihres Unternehmens integriert sind — Webchat, Telegram, WhatsApp, Slack, Discord, In-App-Widget. Wir bauen Retrieval-Augmented Generation Pipelines, die auf Ihrer Wissensbasis mit Zitaten basieren, Agentenautomatisierung auf Anthropic Claude SDK, OpenAI Assistants oder lokal gehostetem Llama sowie die unterstützende Infrastruktur: Kosten-Dashboards, Ratenbegrenzungen, Missbrauchserkennung, Audit-Trails, Monitoring via OpenTelemetry.
Jede Integration wird vorgehärtet gegen die Sicherheitsfehler aus unserem LLM Security Review Track — Prompt-Injektion, RAG-Poisoning, Geheimnisse in Prompts, Exploits von Output-Handlern. Das Team, das Ihren Sales-Bot baut, ist dasselbe, das KI-Pipelines auf Sicherheit prüft und LLM-Deployments auf Prompt-Injection-Resilienz bewertet, sodass das Produkt von Anfang an sicher in Produktion geht und nicht nachträglich abgesichert werden muss.
