CertiK 对跨链 DeFi 平台 Kava 的 CDP 和拍卖模块的审计报告

链闻ChainNews view 56282 2020-7-16 09:36
share to
Scan QR code with WeChat

近期,DeFi 协议发生了一次又一次的安全事件,损失了数百万美元,因此,对内在和外在风险的安全漏洞进行审核至关重要。为此,本次审计的唯一目的是对 Kava 的 CDP 和拍卖模块的实施进行对照性能规范的审计检查。

此前在 2020 年 3 月,CertiK 完成了对 Kava Labs 验证器 Vesting 模块的安全审计,审核结果证实了 Kava 的代码交付了一个安全的优级实施协议。

在本次对 Kava CDP 和拍卖模块的特别审计中,CertiK 进行了一系列彻底的安全评估,目标是通过发现和修复可能导致未经授权的访问、资金损失、级联故障等已知漏洞以及其他安全漏洞,帮助 Kava Labs 保护用户的资金安全。在每个安全发现的同时,CertiK 还会给出修复和最佳实践的建议。在六周的审计后,CertiK 再次确认 Kava 交付的代码处于非常高的安全水平。

CertiK 对跨链 DeFi 平台 Kava 的 CDP 和拍卖模块的审计报告

安全等级:非常高的置信度

Kava 是一个使用 Cosmos SDK 构建的跨链 DeFi 平台项目,为主流加密资产提供抵押贷款和稳定币。Kava Labs 平台主要提供以下服务:

多抵押的借贷债仓: 平台接受 BTC、ATOM、XRP 等加密资产抵押。

自行发放贷款: 用户可以完成平台操作自动获得贷款。

创建稳定币: 基于抵押资产价值铸造的与美元挂钩的稳定币,作为最终贷款发放给用户。

Kava Labs 能够通过其独特的架构实现可靠性、互操作性和快捷的交易速度,从而比现有的 DeFi 解决方案更快地构建和迭代。

审计范围

根据协议,审计工作严格限定在源代码的具体提交范围内,模块包括 CDP 模块和拍卖模块。

CDP (collateralized debt position)模块允许用户用一系列加密货币进行抵押贷款,如 BTC、XRP、ATOM 和 BNB。Kava 表示,他们计划支持 CDP 内可用的众多白名单资产。拍卖模块实现了三种拍卖类型,用来控制 CDP 系统中坏账和盈余的供应。

CertiK 对每个模块中的状态转换都对照其规范进行了仔细验证,甚至对测试代码进行了分析,并假定其为真,以便进行审计(对测试代码的正确性和有效性审计已经超出了本次审计的范围)。此外,CertiK 还执行了 Go 编程的最佳实践,以提高系统总体性能,并最大限度地减少运行时异常和 panic 的几率。

审计方法

本次审计由 CertiK 经验丰富的安全工程师团队进行,利用静态和动态分析相结合的方式,评估范围内 CDP 和拍卖模块的功能正确性、安全性和性能。审计方法围绕着确保 Kava 中的安全模型以安全和功能正确的方式完成,以此来辅助区块链各模块的封装,保障应用系统免受无意的状态变化。

按照 SDK 中概述的模块化设计方法,CertiK 检查了范围内的每一个模块,以确保:

模块有自己的消息(或交易)处理机

SDK 以最小权限的方式使用,主要用于路由消息到预定的模块。

模块适当地聚合成一个功能应用

除了评估安全模式外,还将采用 Go 编程的最佳实践。这些实践包括:

正确地模拟实施模糊测试,以避免错误的假设。

在需知基础上确保模块相互依赖性实例化。

Kava CEO 和联合创始人 Brian Kerr 表示:

「经过 Kava 的内部测试、多次同行评审,现在又通过了 B-Harvest 和 CertiK 的全面审核程序,我们相信 Kava 的代码是安全的,并能按预期工作。」

安全工程师 Jay Jie 表示:

「Kava 的代码库体现了高度的技术专长和开发规程。总的来说,源代码组织良好,书写干净,容纳了高质量的设计文档和代码注释。在审计过程中,我们进行了一系列的评估,重点是识别常见的与软件漏洞相关的习语和代码模式。我们很高兴地得出结论:Kava 的代码库具有很高的安全态势和卓越的质量。」

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Tags: DeFi CDP
Previous: 简析 Cashaa 钱包 336 BTC 被盗事件 Next: 传奇风投 a16z 如何玩转加密货币:图解投资版图与策略

Related