NAOS Finance 聘请 Quantstamp 对其流动性协议Formation智能合约进行安全审计。
审计代码的提交哈希取自我们的 Github 存储库:
1.初审:19f4967bc36724296c6755af2c19dab6215786a8
2.复审:c125272892094d9e7b49e1e85b59161bb300de8a
审计完成时,没有发现高风险问题,只有3个中等风险问题、5个低风险问题、7个信息风险问题和1个未确定风险。 在总共16个发现的问题中,我们解决了 13 个问题并确认了 3 个问题。
我们寻找的可能问题包括(但不限于):
● 交易顺序依赖
● 时间戳依赖
● 处理异常和调用堆栈限制
● 不安全的外部调用、整数上溢/下溢、数字舍入错误
● 重入和跨函数漏洞
● 拒绝服务/逻辑疏忽
● 权力集中,访问控制
● 业务逻辑与规范矛盾
● 代码克隆、功能重复、gas使用、任意令牌铸造
我们将讨论所有三个中等风险问题以及已确认的两个问题
#1 可以迁移到相同的adapter(QSP-1/中等风险/缓解)
问题描述:
使用 migrate() 函数调用 _updateActiveVault() 可能会多次添加相同adapter。 这将导致 Formation 和adapter之间的记帐错误。 虽然 migrate() 函数仅限于治理,但应该进行检查以防止错误行为。
NAOS采取的行动:
添加相关的检查语句来检查新的adapter是否与之前的adapter相同,如果是,则交易将被拒绝。
#2 未经检查的返回值(QSP-2 / 中等风险 / 已确认)
问题描述:
大多数函数会在成功时返回真值或假值。 某些函数,例如 send(),比其他函数更需要检查。 确保检查每个相关函数很重要。
NAOS采取的行动:
来自 yearn 的返回值不是简单的布尔(boolean)值,因此我们无法根据响应做出确切的决定。 如果有异常状况发生,我们可以设置紧急模式停止充值。
#3 Oracle价格可能过时(QSP-3 / 中等风险 / 已修复)
问题描述:
采用Chainlink 已弃用的 API latestAnswer() 获取价格,价格可能已经过时。
NAOS采取的行动:
我们用 latestRoundDate() 替换了 Chainlink 已弃用的 API latestAnswer()。 增加了最大可容忍延迟时间的设置,以确保oracle正常工作。
#4 特权角色和所有权(QSP-5 / 低风险 / 已确认)
问题描述:
系统的治理拥有相当大的权力。
NAOS采取的行动:
部署后,治理角色将转移到由 NAOS 核心团队成员和可信社区成员组成的 NAOS 多重签名帐户。 协议的设置将遵循 NAOS 治理过程的决定。
#5 由于 flush() 存在经济攻击向量(QSP-13 / 信息风险 / 已确认)
问题描述:
由于“flush”功能将资产从 Formation 推送到连接的底层金库,这迫使资产从用户抵押的代币转换成外部金库的共享代币。
NAOS采取的行动:
我们会谨慎选择 DeFi 项目作为底层金库。 此外,智能合约中的sentinel可以设置紧急模式以停止充值。
文档: https://naosfinance.gitbook.io/naos-finance/
Github: https://github.com/NAOS-Finance
报告: https://certificate.quantstamp.com/full/naos-formation
总体而言,我们认为 Formation 智能合约在技术上是稳健可靠的。 尽管如此,我们仍会继续将产品的安全性放在首位。我们计划在不久的将来聘请其他审计机构来评估智能合约,并将与白帽顾问密切合作并启动赏金计划来进行“持续审计”。
请点击链接了解赏金计划的详细信息:https://immunefi.com/bounty/naos
我们对主网的发布感到兴奋,我们充分意识到随之而来的责任。 我们将采取一切必要措施,为社区做正确的事!
关于Quantstamp
Quantstamp 是区块链安全领域的领导者,已经进行了200多次审计,为1000 亿美元资产保驾护航。Quantstamp服务包括保护Layer-1区块链、智能合约驱动的 NFT 和 DeFi 应用。Quantstamp 曾经为以下知名区块链项目进行过审计: Maker、Curve、Sushi、Compound、Polygon、KeepDAO、Flow、Avalanche、Cardano、NEAR、Conflux、NBA Top Shot、SuperRare等。
关于NAOS Finance
NAOS Finance 是一个 DeFi 借贷协议,允许贷款人和中小企业借款人在区块链上进行无需许可和无国界的借贷交易。我们的平台基于以太坊网络搭建,允许用户可以对现实世界的资产和后续借贷代币化。
我们在全球顶级市场合规合法运营,将资产安全放在首位,并在借贷过程中增强信任。