RioDeFi是一個去中心化金融的基礎設施平臺,旨在透過連線傳統金融和去中心化金融來加速數字資產的應用。這一步驟是透過開發將企業、金融機構和銀行與分散式賬本系統連線起來的解決方案來實現的。
RioDeFi的核心是RioChain。所有建立在RioChain上的應用都能實現交易費用更低、確認更快、效率更高和全球影響力更大這四個要素。該鏈的特點包括
1、互操作性。RioChain是建立在Parity Substrate區塊鏈開發框架上的公有鏈,與POLKADOT網路完全相容。
2.連線性。RioWallet提供了對支付系統的訪問,並允許使用者從其加密賬戶中提取法幣。
3.流動性。RioDeFi連線中心化與去中心化的金融系統,可以促進跨鏈交易。
CertiK很高興與RioDeFi團隊合作,並在系統範圍內檢查其原始碼中的問題和漏洞。 全面的評估檢查已經完成,並對RioWallet進行了滲透測試。
(資訊來源:https://twitter.com/riodefiofficial/status/1301356681096392704?s=20)
稽覈結果與滲透測試總結
Rio DeFi小組與CertiK小組配合,對於即將釋出的基於Substrate的系統進行設計和執行情況的評估檢查。檢查的內容包括 :
1.RioBridge
2.RioAssets
3.RioRuntime
本次審查的目標是RioDeFi的實施情況,從而瞭解其商業模式,潛在的安全漏洞,總體設計架構,並發現可能危及軟體生產的故障。在此過程中,重點考慮了以下幾個方面:
* 審查Rio Runtime、Rio Assets和RioBridge的安全和實施的健全性。
* 評估程式碼庫,以確保符合當前的最佳做法和行業情況標準。
* 確保系統邏輯符合客戶的訴求和意圖。
此外,CertiK還對RioDeFi移動錢包應用進行了應用滲透測試。滲透測試的主要目的是測試其對各種針對應用程式控制和功能的現實世界攻擊的整體彈性。如此一來,RioDeFi就能夠了解其自身弱點,並針對修復和改善安全狀況提出建議。
測試的過程和結果
審查方面,程式碼庫很好地利用了框架的特殊性和Rust的最佳實踐。CertiK的工程師團隊只發現了一些小的異常,並迅速且完整地修復了他們。
工程師表示:"在關於特權功能處理(privileged functionality handling)的實現,和圍繞框架的安全設計與合理的引數調整方面,程式碼庫能夠遵守框架規範,並與模組的預期功能達成一致。"
滲透測試方面,CertiK針對包括OWASP十大漏洞在內的不同的非固定漏洞進行了測試。CertiK採用了白盒測試的方法,在Github共享倉庫提供的原始碼內進行了測試。RioDeFi主動進行這些測試的做法體現了他們對安全問題的重視。
評估安全建議
除功能性外,小組建議改進程式碼庫的文獻資料。雖然有些部分很好的儲存下來,但其他部分依然缺乏適當的文獻資料。此外,所有與專案有關的檔案、自述檔案、評論、白皮書、黃皮書都應該有相對應的英文版本。鑑於RioDeFi團隊的豐富經驗,CertiK有信心所有文獻資料能在主網釋出時更新完畢並完全到位。
CertiK 強烈建議所有專案都應對完整的程式碼庫進行嚴格的單元測試。這樣以確保在所有邊緣情況下,甚至在稽覈之前,就實現預期的功能和結果。嚴格的單元測試能確保程式碼擁有最高質量,並能使所有的稽覈工作更有價值。
關於CertiK
CertiK是一家以技術為主導的區塊鏈安全公司,由耶魯大學和哥倫比亞大學的電腦科學教授創立,旨在證明智慧合約和區塊鏈協議的安全性和正確性。
CertiK每一次的稽覈任務都採取不同的方式和檢測方法,從人工、靜態和動態分析,確保專案被檢查出已知攻擊和潛在漏洞。CertiK的經驗豐富的工程師和安全稽覈師團隊,對專案進行各種測試和驗證,進而建立一個更加安全和強大的軟體系統。
從Binance的BGBP和Paxos Gold等穩定幣到Band Protocol和Tellor等去中心化預言機,CertiK已經為100多家客戶提供了高質量的稽覈和諮詢服務。
詳情可檢視:
Twitter: https://twitter.com/riodefiofficial/status/1301356681096392704?s=20
Linkedin: https://www.linkedin.com/posts/riodefiofficial_certik-on-twitter-activity-6707128914847891456-jrZA/
