CertiK已完成對全球首家跨鏈合約交易所YFX的安全審計

買賣虛擬貨幣
2021年,加密領域儘管經歷了「大起大落」,總體發展勢頭卻強勢的無法遏制。

而公鏈作為區塊鏈底層網路的基礎設施,競爭也再一次進入白熱化階段。

與此同時,DEX領域同樣正上演著劇變,DEX產品和模式在更新迭代。
基於跨鏈的DEX是去中心化交易所發展的必然。
YFX是唯一一家基於以太坊、波場、幣安智慧鏈、火幣生態鏈、OKEx公鏈、波卡的跨鏈去中心化的永續合約交易平臺,提供高達100倍槓桿交易BTC、ETH等資產。

平臺採用領先的QIC-AMM做市商池交易方式,為使用者提供極高的流動性、極低的交易滑點。
作為全球首家支援正向、反向、混合合約的去中心化合約交易所,YFX所有的資金都由智慧合約託管,平臺無法操作使用者任何資金,所有的智慧合約程式碼都開源。
因YFX非常重視區塊鏈安全防護,在加強專案自身的安全性的同時,決定與CertiK進行合作,委託CertiK安全團隊對其智慧合約進行安全程式碼審計,為專案平穩運營保駕護航。
YFX致力於在每一個環節杜絕安全隱患,成為DeFi乃至去中心化衍生品中的技術標杆。

審計過程
CertiK針對YFX協議合約程式碼的結構、實現情況和整體最佳實踐進行了測試、分析和推論,以發現其智慧合約原始碼中的問題和漏洞,以及不屬於正式認可庫的任何合約依存關係。 
CertiK團隊以系統為基礎對整個程式碼庫進行分析,進而啟動整體審計過程,並在整個過程中嚴格遵循了高標準化要求。
審計過程中,CertiK充分利用了動態分析,靜態分析和人工複核等技術,對專案協議進行了全面檢查。審計過程中特別注意了以下事項:
1. 測試所有針對智慧合約的常見與罕見的攻擊向量
2. 評估程式碼庫是否達到當前的最佳實踐與行業標準
3. 保證合約的邏輯符合設計規範和設計目的
4. 參照並對比行業制定的相似結構
5. 對整個程式碼庫進行逐行的人工複核


審計結果
CertiK安全團隊在審計過程中使用了線上註釋和命名規範以便了解合約程式碼的各項功能。
在合約的許可權部分,CertiK發現,YFX為了確保平臺的穩定執行,設計了用於交換治理和平臺引數設定的超級許可權。例如,YFX平臺將使用超級許可權透過參考幾個集中交易所的平均價格來設定指數價格。
在審計過程中,我們還發現了兩個與設計規範有關的主要bug。
除此之外,我們在原始碼中所指出的某些最佳化建議主要是針對合約編碼標準和效率不佳的狀況。
總體而言,YFX協議程式碼的這些bug並不構成任何漏洞。
在確認了預期規範與程式碼實現之間的偏差之後,CertiK將審計發現傳達給了YFX團隊進行修復。


安全建議 
針對合約執行並不理想的情況,安全專家團隊建議對此部分程式碼加以充實,從而幫助提高程式碼庫和專案的易讀性。 
除此之外,YFX團隊應重構合約的程式碼庫,以針對性地解決本次審計所提出的問題,實施應用程式碼校驗和/或編碼樣式,並更正整個程式碼中出現的所有拼寫錯誤,以實現高標準的程式碼質量,並提高合約安全性。

作者:CertiK,來源:CertiK

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读