スマートコントラクト監査
Ethereum、BNB Chain、Polygon、Arbitrum、Optimism、Base、zkSync、Solana、Aptos、Sui、StarkNet、TON、Near上のスマートコントラクトに対する独立したセキュリティ監査。Solidity、Vyper、Rust、Move、Cairo、FunCをカバー。監査は手動の行単位レビューと静的解析(Slither、Aderyn、Mythril)、プロパティベースのファジング(Foundry不変性テスト、Echidna、Medusa)、およびDeFiプロトコルの経済的攻撃モデリング(フラッシュローン、オラクル操作、MEV、寄付攻撃、ガバナンス乗っ取り)を組み合わせています。
重大度評価付きのレポートを受け取り、CriticalおよびHighの指摘には再現可能なFoundryまたはAnchorの概念実証テスト、修正ガイダンス、修正後の再監査、CEXおよびDEXの上場用にサイズ調整された署名済みレポートが含まれます。監査バッジと証明ブロックはREADME、ピッチデッキ、取引所申請用に別の成果物として提供されます。
ペネトレーションテスト
Webアプリケーション、REST、GraphQL、gRPC API、AndroidおよびiOSのモバイルアプリ(静的リバースエンジニアリングとFridaによるランタイム計測)、内部Active Directoryレッドチーム演習、AWS、Google Cloud、Microsoft Azureのクラウドインフラ、Kubernetesクラスターに対する認可済みPTESメソッドのペネトレーションテスト。OWASP Top 10およびOWASP API Security Top 10に加え、JWTキー混乱、OAuthフロー操作、リクエストスマグリング、GraphQLバッチング悪用、IAM権限昇格、コンテナ脱出などの最新攻撃クラスをカバー。
ツールベースラインはnmap、nuclei、Burp Suite、sqlmap、dalfox、ffuf、Frida、MobSF、Pacu、Prowler、kube-hunterに加え、各案件に応じたカスタムペイロードを使用。CriticalおよびHighの指摘には動作する概念実証が付属し、すべてのレポートにCVSSスコア、再現手順、証拠、修正ガイダンス、修正後の再テストが含まれます。
スマートコントラクト開発
単一のERC-20トークンから完全なDeFiプロトコルまで—AMM、レンディングマーケット、デリバティブ、イールドアグリゲーター、ストラクチャードプロダクト。タイムロックとマルチシグ付きのガバナンス、Chainlink、Pyth、RedStoneとのオラクル統合、LayerZeroやAxelarによるクロスチェーンメッセージング、ERC-4337によるアカウント抽象化を提供。日常的に対応する標準はERC-20、ERC-721、ERC-1155、ERC-4337、ERC-4626ボールト、ERC-2535ダイヤモンドプロキシ、ERC-6551トークンバウンドアカウント、Solana SPLトークンとToken-2022、AptosとSuiのMoveリソース、Cairoストレージパターン、TONジェットトン。
FoundryファーストのEVMツールチェーンで90%のテストカバレッジ目標と1万回のファジングベースライン、SPL用のAnchorとSolana CLI、Move用のAptosとSui CLI、Cairo用のScarbとStarkli、TON用のBlueprintを使用。引き渡しにはブロックエクスプローラーでの検証済みソース、デプロイスクリプト、ガススナップショット、すべての公開関数のNatSpec、監査人向けの事前監査セキュリティノートが含まれます。
ウォレット開発
KMSバックアップのカストディアルウォレット、Ledger、Trezor、Keystoneのハードウェア統合を備えたノンカストディアルウォレット、Safe(旧Gnosis Safe)およびSolanaのSquadsでのマルチシグ展開、Privy、Magic、Dynamic、Web3Authによる組み込みウォレット、Lit ProtocolまたはFireblocks SDKを使ったMPCウォレットを提供。iOS、Android、Web SDKをスコープに応じて提供し、バックエンドインフラ(キー保管庫、署名サービス、リカバリーフロー)も構築。
すべてのウォレットはローンチ前に独自の監査トラックを通過し、監査は契約だけでなくユーザーインターフェースの署名面も慎重にカバー:署名表示、EIP-712型データ検証、署名前のトランザクションシミュレーション、ハードウェアウォレットの往復整合性。KYC統合、制裁スクリーニング、トラベルルール配線のコンプライアンスフックはVASPライセンスプロジェクト向けに事前インストール済み。
ブロックチェーン開発
カスタムLayer 1チェーン(通常はGeth、Substrate、Cosmos SDKのフォークにプロジェクト固有の修正を加えたもの)、確立されたスタックによるLayer 2ロールアップ—OP Stack(オプティミスティック)、Polygon CDKとzkSync ZK Stack(ゼロ知識)、Arbitrum Orbit—および主権的なブロックスペース、カスタム手数料トークン、ガバナンス制御の実行ルールを必要とするプロジェクト向けのアプリケーション特化チェーン。
チェーン周辺のすべてを配線:バリデーターオンボーディング、ブロックエクスプローラー(Blockscoutまたはカスタム)、Ethereumへの正規ブリッジ、フォーセット、RPCインフラ、GrafanaとPrometheusによる監視ダッシュボード、スタックにネイティブでない場合のオラクル統合、アップグレード、スラッシングイベント、インシデント対応の運用マニュアル。ローンチパッケージにはロックされたジェネシス設定、完了した監査、文書化されたバリデーターオンボーディングが含まれます。
dApp開発
主要なすべての分野にわたるフルスタック分散型アプリケーション:DeFi(AMM、レンディング、イールドアグリゲーター、デリバティブ、パーペチュアル、ストラクチャードプロダクト)、NFT(マーケットプレイス、ミントプラットフォーム、ドローツール、ロイヤリティ分配)、GameFi(ゲーム内経済、資産トークン化、マーケットプレイス)、実世界資産(トークン化された国庫短期証券、分割不動産、請求書ファイナンス)、インフラdApp(オラクルフロントエンド、ブリッジUI、インデクサーダッシュボード)。
フロントエンドはNext.js 14+のApp RouterとServer Components、またはチームが好む場合はSvelteKit。チェーンとのインタラクションはEVM向けにwagmi v2とviem、Solana向けに@solana/web3.jsを使用。ウォレットUXはRainbowKit、WalletConnect、Privy。インデクサーはThe Graph、Goldsky、Ponder。バックエンド(必要に応じて)はFastify、NestJS、Hono(TypeScript)、またはAxum(Rust)、PostgreSQL、Redis、ClickHouseを分析用に使用。
ミニアプリ開発
ほぼ10億の月間アクティブユーザーを持つTelegramミニアプリ、トランザクション対応のインラインインタラクションを備えたFarcaster Frames v2、Web3コミュニティが既に存在するDiscordサーバーに埋め込まれたDiscordアプリ。ミニアプリはユーザーが既に認証され、コンテキスト内にあり、信頼するサーフェス内にいるため、スタンドアロンのウェブアプリに比べてユーザー獲得コストを桁違いに削減します。
Telegram向けにはTON Connect(Tonkeeper、MyTonWallet)またはWeb3Modal経由のEVMウォレットサポートを提供。Farcaster向けにはトランザクション対応フレーム—ミント、スワップ、投票のインライン操作。Discord向けにはオンチェーンアクション(クレーム、投票、ゲート)に結びついたスラッシュコマンドを配線。バックエンドはWebhook署名検証、リプレイ防止、レート制限、ボット対策を処理。規制製品向けにジオゲーティング、制裁スクリーニングのコンプライアンスフックもクリーンに配線。
LLMセキュリティレビュー
大規模言語モデル展開のターゲットを絞ったセキュリティレビュー—チャットボット、検索強化生成パイプライン、自律エージェント、Model Context Protocolサーバー。カバー範囲はLLMアプリケーション向けのOWASP Top 10:直接的なプロンプトインジェクション、取得ドキュメントやツール出力を介した間接的インジェクション、システムプロンプト抽出、トレーニングデータ漏洩、範囲外ツール呼び出しを伴うエージェントツール悪用、モデル拒否サービス、多段階の脱獄チェーン、モデルテキストをRCE、XSS、SQLインジェクションに変換する出力ハンドラー。
ツールにはNVIDIAのgarak、promptfoo、llm-guard、NeMo Guardrails、Microsoft PyRITを使用し、顧客スタックに合わせたペイロード—Claude、GPT、Gemini、ローカルホストのLlama、検索、エージェント、チャットボット、単一ターン、多ターンを調整。成果物は再現可能なプロンプト付きの重大度評価指摘、システムプロンプト強化推奨、シンク分類付き出力ハンドラーレビュー、修正後の再テストパス。
AIパイプラインセキュリティ監査
モデル単体ではなく、プロダクションAIパイプラインのエンドツーエンド監査。ベクターデータベースの整合性(Pinecone、Weaviate、Qdrant、pgvector—インデックス時の埋め込み汚染や取得操作を含む)、エージェント実行ループ(無限再帰、ツール呼び出しループ、暴走コスト)、モデル展開の強化(プライベートエンドポイント、IAMスコーピング、レート制限、プロンプト内のシークレット)、モデルテキストがSQL、シェル、HTMLレンダー、コード実行に流れる出力ハンドリングシンクをレビュー。
2026年におけるLLMアプリケーションの主要攻撃面は検索強化生成:汚染されたチャンクによる間接的プロンプトインジェクションはシステムプロンプトを完全に回避し、ツールが敵対的文字列を返すとエージェントツール使用がエスカレートし、インデックス時の埋め込み汚染はランタイム防御に見えません。脅威モデル、具体的な概念実証攻撃、強化推奨、SigmaおよびSemgrep形式の検出ルールをSOCに提供。
GEO — LLM生成エンジン最適化
生成エンジン最適化は、ChatGPT、Claude、Perplexity、Gemini、およびその他のAI駆動検索製品の回答内でビジネスをランク付けする技術。Google SEOとは異なり、AIエンジンは構造的パターン(FAQPageスキーマ、ハブ&スポークトポロジー、固有表現の基盤、事実密度、llms.txtおよびllms-full.txtの公開)を評価し、リンクグラフスパムやキーワード密度は評価しません。Soken自身のポジショニングもこの手法に基づいて構築されました。
契約には、主要4つのエンジンにおける現在のAI引用フットプリントの監査、特定の高意図クエリをターゲットにしたコンテンツロードマップ、Service、FAQPage、Organization、BreadcrumbListタイプのスキーマ展開、llms.txt公開、ProfoundまたはBotRankによる30日、60日、90日でのベースライン対比引用追跡が含まれます。
AIビジネス統合
既存の顧客接点—ウェブチャット、Telegram、WhatsApp、Slack、Discord、アプリ内ウィジェットに接続されたプロダクションAIアシスタントおよびセールスエージェント。知識ベースに基づく引用付きの検索強化生成パイプライン、Anthropic Claude SDK、OpenAIアシスタント、ローカルホストLlamaによるエージェント自動化、コストダッシュボード、レート制限、不正検知、監査証跡、OpenTelemetryによる監視などのインフラを構築。
すべての統合はLLMセキュリティレビューのセキュリティ失敗モード—プロンプトインジェクション、RAG汚染、プロンプト内シークレット、出力ハンドラー悪用—に対して事前に強化済み。セールスボットを構築するチームはAIパイプラインのセキュリティ監査とLLM展開のプロンプトインジェクション耐性レビューも担当し、製品は後付けではなくデフォルトで安全に本番環境に到達します。
