The Truly Decentralized and “Trustless” Web

在 Acala 平台中，我们认为每个独立的个体都应该拥有自己的金融控制权，而不是交由某个中介公司。而我们 Acala 的使命就是支持和培育真正的去中心化和 “Trustless” 的 Web 3.0 金融应用。未来，Acala 将通过不断地技术挑战与探索，利用一系列开箱即用的 DeFi 协议（如去中心化稳定币、Staking 衍生品以及 DEX）与专为 DeFi 定制的智能合约平台去实现一个更加开放、公平的金融生态。

至始至终，Acala 区块链网络和底层协议中的安全性始终被列为最高优先级。正是基于这个理念，Acala 开发团队投入了大量的时间与精力去打造一个安全、可靠的 DeFi 平台与关联协议。更重要的是，我们请到了业内享有盛誉的顶级代码审计团队 SR Labs、Trail of Bits 和 Slow Mist 为 Acala 全产品的代码库进行安全审计。

Scope of Audit

此次审计范围包括 Acala 所有 Runtime 模块，其中包含了生态系统模块 RenVM 、向社区开源并共同维护的 Acala ORML 通用模块，以及 Acala DApp 的前端界面。截止目前为止，SR Labs 和 Slow Mist 已经完成现阶段全部审计，Trail of Bits 下一阶段审计将于2021 年 1 月正式开始。

The Report & Fixes

其中 SR Labs 的审计报告中唯一高级漏洞是关于权重分配的问题，该问题是已计划还未实行的功能。我们目前已完成了基准测试，并最终确定了所有适当的 Extrinsics 权重。（了解 Extrinsics 详情查看：https://substrate.dev/docs/en/knowledgebase/learn-substrate/extrinsics）

其他报告中的网络安全相关问题已得到解决，并由审计员再次审查并通过。其中两个与应用相关问题（SR Labs 报告中的 #5 与 #8 ) 在 DeFi 应用中普遍存在，如 DeX 的 Front-Running ，目前市场上还没有完美的解决方案，Acala 开发团队正从风险管理的角度通过设置安全参数来解决这个问题。除此之外，我们正在进行更深层次的经济模型审计，希望通过基于模拟市场的压力测试，从而评估 Acala 整个系统的承压性，并妥善解决暴露在不同市场规模和市值的风险敞口。

Moving Forward

安全审计仅仅作为 Acala 确保安全与风险管理工作的一部分。目前，Acala 所有 Runtime 代码仓库都完成安全审计，并可追溯，所有治理决策和资产也都将公开验证。另外，我们 Bug 赏金计划也是保证代码仓库安全的重要组成部分，在此也鼓励开发者深入研究 Acala 代码并及时报告相关漏洞，我们相信公开透明、时间沉淀与价值逻辑是保证网络协议安全的真正考验，所以欢迎加入共建 Acala，让每个人都能享受更优质、公平、安全的 DeFi 服务。