CertiK 对跨链 DeFi 平台 Kava 的 CDP 和拍卖模块的审计报告
近期,DeFi 协议发生了一次又一次的安全事件,损失了数百万美元,因此,对内在和外在风险的安全漏洞进行审核至关重要。为此,本次审计的唯一目的是对 Kava 的 CDP 和拍卖模块的实施进行对照性能规范的审计检查。
此前在 2020 年 3 月,CertiK 完成了对 Kava Labs 验证器 Vesting 模块的安全审计,审核结果证实了 Kava 的代码交付了一个安全的优级实施协议。
在本次对 Kava CDP 和拍卖模块的特别审计中,CertiK 进行了一系列彻底的安全评估,目标是通过发现和修复可能导致未经授权的访问、资金损失、级联故障等已知漏洞以及其他安全漏洞,帮助 Kava Labs 保护用户的资金安全。在每个安全发现的同时,CertiK 还会给出修复和最佳实践的建议。在六周的审计后,CertiK 再次确认 Kava 交付的代码处于非常高的安全水平。
安全等级:非常高的置信度
Kava 是一个使用 Cosmos SDK 构建的跨链 DeFi 平台项目,为主流加密资产提供抵押贷款和稳定币。Kava Labs 平台主要提供以下服务:
多抵押的借贷债仓: 平台接受 BTC、ATOM、XRP 等加密资产抵押。
自行发放贷款: 用户可以完成平台操作自动获得贷款。
创建稳定币: 基于抵押资产价值铸造的与美元挂钩的稳定币,作为最终贷款发放给用户。
Kava Labs 能够通过其独特的架构实现可靠性、互操作性和快捷的交易速度,从而比现有的 DeFi 解决方案更快地构建和迭代。
审计范围
根据协议,审计工作严格限定在源代码的具体提交范围内,模块包括 CDP 模块和拍卖模块。
CDP (collateralized debt position)模块允许用户用一系列加密货币进行抵押贷款,如 BTC、XRP、ATOM 和 BNB。Kava 表示,他们计划支持 CDP 内可用的众多白名单资产。拍卖模块实现了三种拍卖类型,用来控制 CDP 系统中坏账和盈余的供应。
CertiK 对每个模块中的状态转换都对照其规范进行了仔细验证,甚至对测试代码进行了分析,并假定其为真,以便进行审计(对测试代码的正确性和有效性审计已经超出了本次审计的范围)。此外,CertiK 还执行了 Go 编程的最佳实践,以提高系统总体性能,并最大限度地减少运行时异常和 panic 的几率。
审计方法
本次审计由 CertiK 经验丰富的安全工程师团队进行,利用静态和动态分析相结合的方式,评估范围内 CDP 和拍卖模块的功能正确性、安全性和性能。审计方法围绕着确保 Kava 中的安全模型以安全和功能正确的方式完成,以此来辅助区块链各模块的封装,保障应用系统免受无意的状态变化。
按照 SDK 中概述的模块化设计方法,CertiK 检查了范围内的每一个模块,以确保:
模块有自己的消息(或交易)处理机
SDK 以最小权限的方式使用,主要用于路由消息到预定的模块。
模块适当地聚合成一个功能应用
除了评估安全模式外,还将采用 Go 编程的最佳实践。这些实践包括:
正确地模拟实施模糊测试,以避免错误的假设。
在需知基础上确保模块相互依赖性实例化。
Kava CEO 和联合创始人 Brian Kerr 表示:
「经过 Kava 的内部测试、多次同行评审,现在又通过了 B-Harvest 和 CertiK 的全面审核程序,我们相信 Kava 的代码是安全的,并能按预期工作。」
安全工程师 Jay Jie 表示:
「Kava 的代码库体现了高度的技术专长和开发规程。总的来说,源代码组织良好,书写干净,容纳了高质量的设计文档和代码注释。在审计过程中,我们进行了一系列的评估,重点是识别常见的与软件漏洞相关的习语和代码模式。我们很高兴地得出结论:Kava 的代码库具有很高的安全态势和卓越的质量。」
Scan QR code with WeChat