时间:2023-08-20|浏览:182
用戶喜愛的交易所
已有账号登陆后会弹出下载
概述
近期,DeFi协议发生了一次又一次的安全事件,损失了数百万美元,因此,对内在和外在风险的安全漏洞进行审核至关重要。为此,本次审计的唯一目的是对Kava的CDP和拍卖模块的实施进行对照性能规范的审计检查。
此前在2020年3月,CertiK完成了对KavaLabs验证器Vesting模块的安全审计,审核结果证实了Kava的代码交付了一个安全的优级实施协议。
在本次对KavaCDP和拍卖模块的特别审计中,CertiK进行了一系列彻底的安全评估,目标是通过发现和修复可能导致未经授权的访问、资金损失、级联故障等已知漏洞以及其他安全漏洞,帮助KavaLabs保护用户的资金安全。在每个安全发现的同时,CertiK还会给出修复和最佳实践的建议。在六周的审计后,CertiK再次确认Kava交付的代码处于非常高的安全水平。
安全等级:非常高的置信度
关于Kava
Kava是一个使用CosmosSDK构建的跨链DeFi平台项目,为主流加密资产提供抵押贷款和稳定币。KavaLabs平台主要提供以下服务:
- 多抵押的借贷债仓:平台接受BTC、ATOM、XRP等加密资产抵押。 - 自行发放贷款:用户可以完成平台操作自动获得贷款。 - 创建稳定币:基于抵押资产价值铸造的与美元挂钩的稳定币,从而比现有的DeFi解决方案更快地构建和迭代。
审计范围
根据协议,审计工作严格限定在源代码的具体提交范围内,模块包括CDP模块和拍卖模块。
CDP(collateralizeddebtposition)模块允许用户用一系列加密货币进行抵押贷款,如BTC、XRP、ATOM和BNB。Kava表示,他们计划支持CDP内可用的众多白名单资产。拍卖模块实现了三种拍卖类型,用来控制CDP系统中坏账和盈余的供应。
CertiK对每个模块中的状态转换都对照其规范进行了仔细验证,甚至对测试代码进行了分析,并假定其为真,以便进行审计(对测试代码的正确性和有效性审计已经超出了本次审计的范围)。此外,CertiK还执行了Go编程的最佳实践,以提高系统总体性能,并最大限度地减少运行时异常和panic的几率。
审计方法
本次审计由CertiK经验丰富的安全工程师团队进行,利用静态和动态分析相结合的方式,评估范围内CDP和拍卖模块的功能正确性、安全性和性能。审计方法围绕着确保Kava中的安全模型以安全和功能正确的方式完成,以此来辅助区块链各模块的封装,保障应用系统免受无意的状态变化。
按照SDK中概述的模块化设计方法,CertiK检查了范围内的每一个模块,以确保: - 模块有自己的消息(或交易)处理机 - SDK以最小权限的方式使用,主要用于路由消息到预定的模块。 - 模块适当地聚合成一个功能应用
除了评估安全模式外,还将采用Go编程的最佳实践。这些实践包括: - 正确地模拟实施模糊测试,以避免错误的假设。 - 在需知基础上确保模块相互依赖性实例化。
KavaCEO和联合创始人BrianKerr表示:“经过Kava的内部测试、多次同行评审,现在又通过了B-Harvest和CertiK的全面审核程序,我们相信Kava的代码是安全的,并能按预期工作。”
安全工程师JayJie表示:“Kava的代码库体现了高度的技术专长和开发规程。总的来说,源代码组织良好,书写干净,容纳了高质量的设计文档和代码注释。在审计过程中,我们进行了一系列的评估,重点是识别常见的与软件漏洞相关的习语和代码模式。我们很高兴地得出结论:Kava的代码库具有很高的安全态势和卓越的质量。”
关于?CertiK
CertiK是一家以技术为主导的区块链安全公司,由耶鲁大学和哥伦比亚大学的计算机科学教授创立,旨在证明智能合约和区块链协议的安全性和正确性。
CertiK每一次审计的任务是应用不同的方法和检测模式,从人工、静态和动态分析,确保发现项目的已知攻击和潜在漏洞。CertiK聘用经验丰富的工程师和安全审计师团队,在项目上应用测试方法和验证,进而创建一个更加安全和强大的软件系统。
CertiK已经为100多家客户提供了高质量的审计和咨询服务,从币安的BGBP和PaxosGold等稳定币到BandProtocol和Tellor等去中心化预言机。CertiK在应用智能合约前沿研究的同时,为其项目上的每个客户定制工程工具箱,提供高质量的交付。随着其利用区块链和智能合约的技术,CertiK团队将继续作为服务提供商和合作者支持更多项目。