NAOS Formation 合約審計和賞金計劃
NAOS Finance 聘請 Quantstamp 對其流動性協議 Formation 智能合約進行安全審計。
審計代碼的提交哈希取自我們的 Github 存儲庫:

  1. 初審:19f4967bc36724296c6755af2c19dab6215786a8
  2. 複審:c125272892094d9e7b49e1e85b59161bb300de8a

審計完成時,沒有發現高風險問題,只有 3 箇中等風險問題、5 個低風險問題、7 個信息風險問題和 1 個未確定風險。 在總共 16 個發現的問題中,我們解決了 13 個問題並確認了 3 個問題。

NAOS Formation 合約審計和賞金計劃
我們尋找的可能問題包括(但不限於):

● 交易順序依賴
● 時間戳依賴
● 處理異常和調用堆棧限制
● 不安全的外部調用、整數上溢 / 下溢、數字舍入錯誤
● 重入和跨函數漏洞
● 拒絕服務 / 邏輯疏忽
● 權力集中,訪問控制
● 業務邏輯與規範矛盾
● 代碼克隆、功能重複、gas 使用、任意令牌鑄造

我們將討論所有三個中等風險問題以及已確認的兩個問題

1 可以遷移到相同的 adapter (QSP-1/ 中等風險 / 緩解)

問題描述:
使用 migrate() 函數調用_updateActiveVault() 可能會多次添加相同 adapter。
這將導致 Formation 和 adapter 之間的記帳錯誤。 雖然 migrate() 函數僅限於治理,但應該進行檢查以防止錯誤行爲。

NAOS 採取的行動:
添加相關的檢查語句來檢查新的 adapter 是否與之前的 adapter 相同,如果是,則交易將被拒絕。

2 未經檢查的返回值(QSP-2 / 中等風險 / 已確認)

問題描述:
大多數函數會在成功時返回真值或假值。 某些函數,例如 send(),
比其他函數更需要檢查。 確保檢查每個相關函數很重要。

NAOS 採取的行動:
來自 yearn 的返回值不是簡單的布爾(boolean)值,因此我們無法根據響應做出確切的決定。 如果有異常狀況發生,我們可以設置緊急模式停止充值。

3 Oracle 價格可能過時(QSP-3 / 中等風險 / 已修復)

問題描述:
採用 Chainlink 已棄用的 API latestAnswer() 獲取價格,價格可能已經過時。

NAOS 採取的行動:
我們用 latestRoundDate() 替換了 Chainlink 已棄用的 API latestAnswer()。
增加了最大可容忍延遲時間的設置,以確保 oracle 正常工作。

4 特權角色和所有權(QSP-5 / 低風險 / 已確認)

問題描述:
系統的治理擁有相當大的權力。

NAOS 採取的行動:
部署後,治理角色將轉移到由 NAOS 核心團隊成員和可信社區成員組成的 NAOS 多重簽名帳戶。 協議的設置將遵循 NAOS 治理過程的決定。

5 由於 flush() 存在經濟攻擊向量(QSP-13 / 信息風險 / 已確認)

問題描述:
由於“flush”功能將資產從 Formation 推送到連接的底層金庫,
這迫使資產從用戶抵押的代幣轉換成外部金庫的共享代幣。

NAOS 採取的行動:
我們會謹慎選擇 DeFi 項目作爲底層金庫。
此外,智能合約中的 sentinel 可以設置緊急模式以停止充值。

文檔 : https://naosfinance.gitbook.io/naos-finance/
Github: https://github.com/NAOS-Finance
報告 : https://certificate.quantstamp.com/full/naos-formation

總體而言,我們認爲 Formation 智能合約在技術上是穩健可靠的。儘管如此,我們仍會繼續將產品的安全性放在首位。
我們計劃在不久的將來聘請其他審計機構來評估智能合約,並將與白帽顧問密切合作並啓動賞金計劃來進行“持續審計”。

請點擊鏈接瞭解賞金計劃的詳細信息:https://immunefi.com/bounty/naos

我們對主網的發佈感到興奮,我們充分意識到隨之而來的責任。 我們將採取一切必要措施,爲社區做正確的事!

關於 Quantstamp
Quantstamp 是區塊鏈安全領域的領導者,已經進行了 200 多次審計,爲 1000 億美元資產保駕護航。Quantstamp 服務包括保護 Layer-1 區塊鏈、智能合約驅動的 NFT 和 DeFi 應用。
Quantstamp 曾經爲以下知名區塊鏈項目進行過審計: Maker、Curve、Sushi、Compound、Polygon、KeepDAO、Flow、Avalanche、Cardano、NEAR、Conflux、NBA Top Shot、SuperRare 等。

關於 NAOS Finance

NAOS Finance 是一個 DeFi 借貸協議,允許貸款人和中小企業借款人在區塊鏈上進行無需許可和無國界的借貸交易。我們的平臺基於以太坊網絡搭建,允許用戶可以對現實世界的資產和後續借貸代幣化。
我們在全球頂級市場合規合法運營,將資產安全放在首位,並在借貸過程中增強信任。

官方網站 | 白皮書 | 電報公告 | 電報社區 | 推特

來源鏈接:medium.com