1. 首页
  2. 技术

CertiK对三个RioDeFi模块进行审核,并对RioWallet进行渗透性测试

CertiK对三个RioDeFi模块进行审核,并对RioWallet进行渗透性测试

RioDeFi是一个去中心化金融的基础设施平台,旨在通过连接传统金融和去中心化金融来加速数字资产的应用。这一步骤是通过开发将企业、金融机构和银行与分布式账本系统连接起来的解决方案来实现的。

RioDeFi的核心是RioChain。所有建立在RioChain上的应用都能实现交易费用更低、确认更快、效率更高和全球影响力更大这四个要素。该链的特点包括

1、互操作性。RioChain是建立在Parity Substrate区块链开发框架上的公有链,与POLKADOT网络完全兼容。

2.连接性。RioWallet提供了对支付系统的访问,并允许用户从其加密账户中提取法币。

3.流动性。RioDeFi连接中心化与去中心化的金融系统,可以促进跨链交易。

CertiK很高兴与RioDeFi团队合作,并在系统范围内检查其源码中的问题和漏洞。 全面的评估检查已经完成,并对RioWallet进行了渗透测试

CertiK对三个RioDeFi模块进行审核,并对RioWallet进行渗透性测试

(信息来源:https://twitter.com/riodefiofficial/status/1301356681096392704?s=20

审核结果与渗透测试总结

Rio DeFi小组与CertiK小组配合,对于即将发布的基于Substrate的系统进行设计和执行情况的评估检查。检查的内容包括 :

1.RioBridge

2.RioAssets

3.RioRuntime

本次审查的目标是RioDeFi的实施情况,从而了解其商业模式,潜在的安全漏洞,总体设计架构,并发现可能危及软件生产的故障。在此过程中,重点考虑了以下几个方面:

* 审查Rio Runtime、Rio Assets和RioBridge的安全和实施的健全性。

* 评估代码库,以确保符合当前的最佳做法和行业情况标准。

* 确保系统逻辑符合客户的诉求和意图。

此外,CertiK还对RioDeFi移动钱包应用进行了应用渗透测试。渗透测试的主要目的是测试其对各种针对应用程序控制和功能的现实世界攻击的整体弹性。如此一来,RioDeFi就能够了解其自身弱点,并针对修复和改善安全状况提出建议。

测试的过程和结果

审查方面,代码库很好地利用了框架的特殊性和Rust的最佳实践。CertiK的工程师团队只发现了一些小的异常,并迅速且完整地修复了他们。

工程师表示:”在关于特权功能处理(privileged functionality handling)的实现,和围绕框架的安全设计与合理的参数调整方面,代码库能够遵守框架规范,并与模块的预期功能达成一致。”

渗透测试方面,CertiK针对包括OWASP十大漏洞在内的不同的非固定漏洞进行了测试。CertiK采用了白盒测试的方法,在Github共享仓库提供的源代码内进行了测试。RioDeFi主动进行这些测试的做法体现了他们对安全问题的重视。

评估安全建议

除功能性外,小组建议改进代码库的文献资料。虽然有些部分很好的储存下来,但其他部分依然缺乏适当的文献资料。此外,所有与项目有关的文件、自述文件、评论、白皮书、黄皮书都应该有相对应的英文版本。鉴于RioDeFi团队的丰富经验,CertiK有信心所有文献资料能在主网发布时更新完毕并完全到位。

CertiK 强烈建议所有项目都应对完整的代码库进行严格的单元测试。这样以确保在所有边缘情况下,甚至在审核之前,就实现预期的功能和结果。严格的单元测试能确保代码拥有最高质量,并能使所有的审核工作更有价值。

 

关于CertiK

CertiK是一家以技术为主导的区块链安全公司,由耶鲁大学和哥伦比亚大学的计算机科学教授创立,旨在证明智能合约和区块链协议的安全性和正确性。

CertiK每一次的审核任务都采取不同的方式和检测方法,从人工、静态和动态分析,确保项目被检查出已知攻击和潜在漏洞。CertiK的经验丰富的工程师和安全审核师团队,对项目进行各种测试和验证,进而创建一个更加安全和强大的软件系统。

从Binance的BGBP和Paxos Gold等稳定币到Band Protocol和Tellor等去中心化预言机,CertiK已经为100多家客户提供了高质量的审核和咨询服务。

详情可查看:

Twitter: https://twitter.com/riodefiofficial/status/1301356681096392704?s=20

Linkedin: https://www.linkedin.com/posts/riodefiofficial_certik-on-twitter-activity-6707128914847891456-jrZA/

该内容来自于互联网公开内容,非区块链原创内容,如若转载,请注明出处:https://htzkw.com/archives/33332

联系我们

aliyinhang@gmail.com