CertiK已完成对全球首家跨链合约交易所YFX的安全审计

2021年,加密领域尽管经历了「大起大落」,总体发展势头却强势的无法遏制。

而公链作为区块链底层网络的基础设施,竞争也再一次进入白热化阶段。

与此同时,DEX领域同样正上演着剧变,DEX产品和模式在更新迭代。
基于跨链的DEX是去中心化交易所发展的必然。
YFX是唯一一家基于以太坊、波场、币安智能链、火币生态链、OKEx公链、波卡的跨链去中心化的永续合约交易平台,提供高达100倍杠杆交易BTC、ETH等资产。

平台采用领先的QIC-AMM做市商池交易方式,为用户提供极高的流动性、极低的交易滑点。
作为全球首家支持正向、反向、混合合约的去中心化合约交易所,YFX所有的资金都由智能合约托管,平台无法操作用户任何资金,所有的智能合约代码都开源。
因YFX非常重视区块链安全防护,在加强项目自身的安全性的同时,决定与CertiK进行合作,委托CertiK安全团队对其智能合约进行安全代码审计,为项目平稳运营保驾护航。
YFX致力于在每一个环节杜绝安全隐患,成为DeFi乃至去中心化衍生品中的技术标杆。
审计过程
CertiK针对YFX协议合约代码的结构、实现情况和整体最佳实践进行了测试、分析和推论,以发现其智能合约源代码中的问题和漏洞,以及不属于正式认可库的任何合约依存关系。
CertiK团队以系统为基础对整个代码库进行分析,进而启动整体审计过程,并在整个过程中严格遵循了高标准化要求。
审计过程中,CertiK充分利用了动态分析,静态分析和人工复核等技术,对项目协议进行了全面检查。审计过程中特别注意了以下事项:
1. 测试所有针对智能合约的常见与罕见的攻击向量
2. 评估代码库是否达到当前的最佳实践与行业标准
3. 保证合约的逻辑符合设计规范和设计目的
4. 参照并对比行业制定的相似结构
5. 对整个代码库进行逐行的人工复核


审计结果
CertiK安全团队在审计过程中使用了在线注释和命名规范以便了解合约代码的各项功能。
在合约的权限部分,CertiK发现,YFX为了确保平台的稳定运行,设计了用于交换治理和平台参数设置的超级权限。例如,YFX平台将使用超级权限通过参考几个集中交易所的平均价格来设置指数价格。
在审计过程中,我们还发现了两个与设计规范有关的主要bug。
除此之外,我们在源代码中所指出的某些优化建议主要是针对合约编码标准和效率不佳的状况。
总体而言,YFX协议代码的这些bug并不构成任何漏洞。
在确认了预期规范与代码实现之间的偏差之后,CertiK将审计发现传达给了YFX团队进行修复。


安全建议
针对合约运行并不理想的情况,安全专家团队建议对此部分代码加以充实,从而帮助提高代码库和项目的易读性。
除此之外,YFX团队应重构合约的代码库,以针对性地解决本次审计所提出的问题,实施应用代码校验和/或编码样式,并更正整个代码中出现的所有拼写错误,以实现高标准的代码质量,并提高合约安全性。

作者:CertiK,来源:CertiK

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
   
验证码:
微信号已复制,请打开微信添加咨询详情!