CertiK 对跨链 DeFi 平台 Kava 的 CDP 和拍卖模块的审计报告

近期，DeFi 协议发生了一次又一次的安全事件，损失了数百万美元，因此，对内在和外在风险的安全漏洞进行审核至关重要。为此，本次审计的唯一目的是对 Kava 的 CDP 和拍卖模块的实施进行对照性能规范的审计检查。

此前在 2020 年 3 月，CertiK 完成了对 Kava Labs 验证器 Vesting 模块的安全审计，审核结果证实了 Kava 的代码交付了一个安全的优级实施协议。

在本次对 Kava CDP 和拍卖模块的特别审计中，CertiK 进行了一系列彻底的安全评估，目标是通过发现和修复可能导致未经授权的访问、资金损失、级联故障等已知漏洞以及其他安全漏洞，帮助 Kava Labs 保护用户的资金安全。在每个安全发现的同时，CertiK 还会给出修复和最佳实践的建议。在六周的审计后，CertiK 再次确认 Kava 交付的代码处于非常高的安全水平。

安全等级：非常高的置信度

Kava 是一个使用 Cosmos SDK 构建的跨链 DeFi 平台项目，为主流加密资产提供抵押贷款和稳定币。Kava Labs 平台主要提供以下服务：

多抵押的借贷债仓： 平台接受 BTC、ATOM、XRP 等加密资产抵押。

自行发放贷款： 用户可以完成平台操作自动获得贷款。

创建稳定币： 基于抵押资产价值铸造的与美元挂钩的稳定币，作为最终贷款发放给用户。

Kava Labs 能够通过其独特的架构实现可靠性、互操作性和快捷的交易速度，从而比现有的 DeFi 解决方案更快地构建和迭代。

审计范围

根据协议，审计工作严格限定在源代码的具体提交范围内，模块包括 CDP 模块和拍卖模块。

CDP （collateralized debt position）模块允许用户用一系列加密货币进行抵押贷款，如 BTC、XRP、ATOM 和 BNB。Kava 表示，他们计划支持 CDP 内可用的众多白名单资产。拍卖模块实现了三种拍卖类型，用来控制 CDP 系统中坏账和盈余的供应。

CertiK 对每个模块中的状态转换都对照其规范进行了仔细验证，甚至对测试代码进行了分析，并假定其为真，以便进行审计（对测试代码的正确性和有效性审计已经超出了本次审计的范围）。此外，CertiK 还执行了 Go 编程的最佳实践，以提高系统总体性能，并最大限度地减少运行时异常和 panic 的几率。

审计方法

本次审计由 CertiK 经验丰富的安全工程师团队进行，利用静态和动态分析相结合的方式，评估范围内 CDP 和拍卖模块的功能正确性、安全性和性能。审计方法围绕着确保 Kava 中的安全模型以安全和功能正确的方式完成，以此来辅助区块链各模块的封装，保障应用系统免受无意的状态变化。

按照 SDK 中概述的模块化设计方法，CertiK 检查了范围内的每一个模块，以确保：

模块有自己的消息（或交易）处理机

SDK 以最小权限的方式使用，主要用于路由消息到预定的模块。

模块适当地聚合成一个功能应用

除了评估安全模式外，还将采用 Go 编程的最佳实践。这些实践包括：

正确地模拟实施模糊测试，以避免错误的假设。

在需知基础上确保模块相互依赖性实例化。

Kava CEO 和联合创始人 Brian Kerr 表示：

「经过 Kava 的内部测试、多次同行评审，现在又通过了 B-Harvest 和 CertiK 的全面审核程序，我们相信 Kava 的代码是安全的，并能按预期工作。」

安全工程师 Jay Jie 表示：

「Kava 的代码库体现了高度的技术专长和开发规程。总的来说，源代码组织良好，书写干净，容纳了高质量的设计文档和代码注释。在审计过程中，我们进行了一系列的评估，重点是识别常见的与软件漏洞相关的习语和代码模式。我们很高兴地得出结论：Kava 的代码库具有很高的安全态势和卓越的质量。」