Audit di Smart Contract
Audit di sicurezza indipendenti per smart contract su Ethereum, BNB Chain, Polygon, Arbitrum, Optimism, Base, zkSync, Solana, Aptos, Sui, StarkNet, TON e Near. Copriamo Solidity, Vyper, Rust, Move, Cairo e FunC. L’audit combina revisione manuale riga per riga con analisi statica (Slither, Aderyn, Mythril), fuzzing basato su proprietà (test invarianti Foundry, Echidna, Medusa) e modellazione di attacchi economici per protocolli DeFi — flash loan, manipolazione di oracoli, MEV, attacchi di donazione, cattura della governance.
Riceverai un report con classificazione della gravità e test proof-of-concept riproducibili con Foundry o Anchor per ogni riscontro Critico e Alto, indicazioni per la correzione, un passaggio di re-audit dopo le correzioni e un report firmato dimensionato per le quotazioni su exchange CEX e DEX. Il badge di audit e il blocco di attestazione vengono forniti come artefatto separato per il tuo README, pitch deck e domanda di listing su exchange.
Penetration Testing
Penetration testing autorizzato secondo la metodologia PTES per applicazioni web, API REST, GraphQL e gRPC, applicazioni mobili su Android e iOS (reverse engineering statico più strumentazione runtime via Frida), engagement red-team su Active Directory interne, infrastrutture cloud su AWS, Google Cloud e Microsoft Azure, e cluster Kubernetes. La copertura include OWASP Top 10 e OWASP API Security Top 10, più classi di attacco moderne — confusione chiavi JWT, manipolazione flussi OAuth, request smuggling, abuso batching GraphQL, escalation privilegi IAM, escape da container.
La baseline degli strumenti include nmap, nuclei, Burp Suite, sqlmap, dalfox, ffuf, Frida, MobSF, Pacu, Prowler e kube-hunter, più payload personalizzati mirati per ogni engagement. Ogni riscontro Critico e Alto è accompagnato da un proof-of-concept funzionante; ogni report include punteggio CVSS, passi di riproduzione, evidenze, indicazioni per la correzione e un passaggio di retest dopo le correzioni.
Sviluppo di Smart Contract
Da un singolo token ERC-20 a un protocollo DeFi completo — AMM, mercati di prestito, derivati, aggregatori di rendimento, prodotti strutturati. Forniamo governance con timelock e multisig, integrazioni oracolo con Chainlink, Pyth e RedStone, messaggistica cross-chain via LayerZero o Axelar, e astrazione dell’account via ERC-4337. Standard coperti quotidianamente: ERC-20, ERC-721, ERC-1155, ERC-4337, vault ERC-4626, proxy Diamond ERC-2535, account token-bound ERC-6551, token SPL Solana e Token-2022, risorse Move su Aptos e Sui, pattern di storage Cairo, Jetton TON.
Toolchain Foundry-first per EVM con obiettivi di copertura test al novanta percento e baseline di fuzz a diecimila esecuzioni, CLI Anchor e Solana per SPL, CLI Aptos e Sui per Move, Scarb e Starkli per Cairo, Blueprint per TON. La consegna include sorgenti verificati su block explorer, script di deployment, snapshot gas, NatSpec su ogni funzione pubblica e una nota di sicurezza pre-audit per l’auditor.
Sviluppo Wallet
Wallet custodial con gestione chiavi supportata da KMS, wallet non custodial con integrazione hardware per Ledger, Trezor e Keystone, deploy multisig su Safe (ex Gnosis Safe) e Squads su Solana, wallet embedded tramite Privy, Magic, Dynamic e Web3Auth, e wallet MPC usando Lit Protocol o Fireblocks SDK. Forniamo SDK per iOS, Android e Web come scope, più l’infrastruttura backend — key vault, servizio di firma, flusso di recupero.
Ogni wallet passa attraverso la nostra linea di audit prima del lancio, e l’audit copre la superficie di firma dell’interfaccia utente con la stessa cura dei contratti: visualizzazione firma, verifica dati tipizzati EIP-712, simulazione transazione pre-firma, integrità round-trip wallet hardware. Hook di compliance per integrazione KYC, screening sanzioni e Travel Rule wiring sono preinstallati per progetti con licenza VASP.
Sviluppo Blockchain
Chain Layer 1 personalizzate (tipicamente fork di Geth, Substrate o Cosmos SDK con modifiche specifiche di progetto), rollup Layer 2 tramite stack consolidati — OP Stack per optimistic, Polygon CDK e zkSync ZK Stack per zero-knowledge, Arbitrum Orbit — e chain specifiche per applicazioni per progetti che necessitano di spazio block sovrano, token di fee personalizzati o regole di esecuzione controllate dalla governance.
Integriamo tutto ciò che ruota attorno alla chain: onboarding validator, block explorer (Blockscout o custom), bridge canonico verso Ethereum, faucet, infrastruttura RPC, dashboard di monitoraggio su Grafana e Prometheus, integrazione oracolo se non nativa nello stack, e runbook operativi per upgrade, eventi di slashing e risposta agli incidenti. Il pacchetto di lancio include configurazione genesis bloccata, audit completato e onboarding validator documentato.
Sviluppo dApp
Applicazioni decentralizzate full-stack in tutti i principali verticali: DeFi (AMM, prestiti, aggregatori di rendimento, derivati, perpetual, prodotti strutturati), NFT (marketplace, piattaforme di mint, strumenti per drop, splitter di royalty), GameFi (economie in-game, tokenizzazione asset, marketplace), asset reali (titoli di stato tokenizzati, frazionamento immobiliare, finanziamento fatture) e dApp infrastrutturali (frontend oracolo, UI bridge, dashboard indicizzatori).
Frontend con Next.js 14+ con App Router e Server Components, o SvelteKit quando preferito dal team. Interazione chain via wagmi v2 e viem per EVM e @solana/web3.js per Solana; UX wallet tramite RainbowKit, WalletConnect o Privy. Indicizzatori via The Graph, Goldsky o Ponder. Backend (quando necessario) su Fastify o NestJS o Hono in TypeScript, o Axum in Rust, con PostgreSQL, Redis e ClickHouse per analytics.
Sviluppo Mini-App
Mini-App Telegram che raggiungono quasi un miliardo di utenti attivi mensili, Farcaster Frames v2 con interazioni inline capaci di transazioni, e app Discord integrate nei server dove le comunità Web3 già vivono. Le mini-app riducono il costo di acquisizione utenti di un ordine di grandezza rispetto alle web app standalone perché l’utente è già autenticato, già nel contesto, già all’interno di una superficie di fiducia.
Per Telegram forniamo supporto TON Connect (Tonkeeper, MyTonWallet) o wallet EVM tramite Web3Modal. Per Farcaster costruiamo frame capaci di transazioni — mint, swap, voto inline. Per Discord integriamo comandi slash legati ad azioni on-chain (claim, voto, gate). Il backend gestisce verifica firma webhook, anti-replay, rate limiting e anti-bot. Hook di compliance (geo-gating, screening sanzioni) si integrano perfettamente per prodotti regolamentati.
Revisione Sicurezza LLM
Revisione mirata della sicurezza per deployment di modelli linguistici di grandi dimensioni — chatbot, pipeline di generazione aumentata da retrieval, agenti autonomi e server Model Context Protocol. La copertura include OWASP Top 10 per applicazioni LLM: injection diretta di prompt, injection indiretta tramite documenti recuperati e output di tool, estrazione prompt di sistema, fuga di dati di training, abuso di tool da agenti con chiamate fuori scope, denial of service del modello, catene jailbreak multi-turno e handler di output che trasformano testo modello in RCE, XSS o SQL injection a valle.
Gli strumenti includono garak di NVIDIA, promptfoo, llm-guard, NeMo Guardrails e Microsoft PyRIT, più payload mirati tarati sullo stack cliente — Claude vs GPT vs Gemini vs Llama locale, retrieval vs agente vs chatbot, single-turn vs multi-turn. Deliverable: riscontri classificati per gravità con prompt di riproduzione, raccomandazioni per indurimento prompt di sistema, revisione handler output con classificazione sink e passaggio di retest dopo remediation.
Audit Sicurezza Pipeline AI
Audit end-to-end della pipeline AI di produzione, non solo del modello isolato. Esaminiamo l’integrità del database vettoriale (Pinecone, Weaviate, Qdrant, pgvector — inclusi avvelenamento embedding a indice e manipolazione retrieval), loop di esecuzione agenti (ricorsione infinita, loop chiamate tool, costi fuori controllo), indurimento deployment modello (endpoint privati, scoping IAM, limiti di velocità, segreti nei prompt) e sink di gestione output dove il testo modello fluisce in SQL, shell, rendering HTML o esecuzione codice a valle.
La generazione aumentata da retrieval è diventata la superficie di attacco dominante per applicazioni LLM nel 2026: injection indiretta di prompt tramite chunk avvelenato bypassa completamente il prompt di sistema, l’uso di tool da agenti scala al momento in cui un tool restituisce una stringa ostile, e l’avvelenamento embedding a indice è invisibile alle difese runtime. Forniamo modello di minaccia, attacchi proof-of-concept concreti, raccomandazioni di indurimento e regole di rilevamento in formato Sigma e Semgrep da inviare al tuo SOC.
GEO — Ottimizzazione Motore Generativo LLM
Generative Engine Optimization è la disciplina che posiziona la tua azienda nelle risposte di ChatGPT, Claude, Perplexity, Gemini e la più ampia generazione di prodotti di ricerca guidati da AI. Le meccaniche sono diverse dalla classica SEO Google: i motori AI premiano pattern strutturali (schema FAQPage, topologia hub-and-spoke, grounding di entità nominate, densità fattuale, pubblicazione llms.txt e llms-full.txt), non spam di link-graph o densità di parole chiave. Il posizionamento di Soken è stato costruito proprio su questo playbook.
Gli engagement forniscono un audit della tua attuale impronta di citazioni AI sui quattro motori principali, una roadmap di contenuti mirata a query ad alta intenzione, deployment di schema su tipi Service, FAQPage, Organization e BreadcrumbList, pubblicazione llms.txt e tracciamento delle citazioni rispetto al baseline a trenta, sessanta e novanta giorni tramite Profound o BotRank.
Integrazione AI per Business
Assistenti AI di produzione e agenti di vendita integrati nelle superfici di contatto clienti che la tua azienda già gestisce — chat web, Telegram, WhatsApp, Slack, Discord, widget in-app. Costruiamo pipeline di generazione aumentata da retrieval basate sulla tua knowledge base con citazioni, automazione agenti su Anthropic Claude SDK o OpenAI Assistants o Llama locale, e infrastruttura di supporto: dashboard costi, limiti di velocità, rilevamento abusi, audit trail, monitoraggio su OpenTelemetry.
Ogni integrazione viene fornita pre-indurita contro i modi di fallimento di sicurezza della nostra linea di Revisione Sicurezza LLM — injection di prompt, avvelenamento RAG, segreti nei prompt, sfruttamento handler output. Il team che costruisce il tuo bot di vendita è lo stesso che esegue audit di pipeline AI per sicurezza e revisiona deployment LLM per resilienza a prompt injection, quindi il prodotto arriva in produzione sicuro di default e non retrofitato dopo.
