NAOS Formation合約審計和賞金計劃

NAOS Finance ｜2021-07-01 6:07

NAOS Finance 聘請Quantstamp 對其流動性協議Formation智能合約進行安全審計。

NAOS Finance聘請Quantstamp對其流動性協議Formation智能合約進行安全審計。
審計代碼的提交哈希取自我們的Github存儲庫：

1.初審： 19f4967bc36724296c6755af2c19dab6215786a8

2.複審： c125272892094d9e7b49e1e85b59161bb300de8a

審計完成時，沒有發現高風險問題，只有3個中等風險問題、 5個低風險問題、 7個信息風險問題和1個未確定風險。在總共16個發現的問題中，我們解決了13個問題並確認了3個問題。

我們尋找的可能問題包括（但不限於）：

● 交易順序依賴

● 時間戳依賴

● 處理異常和調用堆棧限制

● 不安全的外部調用、整數上溢/下溢、數字舍入錯誤

● 重入和跨函數漏洞

● 拒絕服務/邏輯疏忽

● 權力集中，訪問控制

● 業務邏輯與規範矛盾

● 代碼克隆、功能重複、 gas使用、任意令牌鑄造

我們將討論所有三個中等風險問題以及已確認的兩個問題

#1可以遷移到相同的adapter （ QSP-1/中等風險/緩解）

問題描述：

使用migrate()函數調用_updateActiveVault()可能會多次添加相同adapter 。這將導致Formation和adapter之間的記帳錯誤。雖然migrate()函數僅限於治理，但應該進行檢查以防止錯誤行為。

NAOS採取的行動：

添加相關的檢查語句來檢查新的adapter是否與之前的adapter相同，如果是，則交易將被拒絕。

#2未經檢查的返回值（ QSP-2 /中等風險/已確認）

問題描述：

大多數函數會在成功時返回真值或假值。某些函數，例如send() ，比其他函數更需要檢查。確保檢查每個相關函數很重要。

NAOS採取的行動：

來自yearn的返回值不是簡單的布爾（ boolean ）值，因此我們無法根據響應做出確切的決定。如果有異常狀況發生，我們可以設置緊急模式停止充值。

#3 Oracle價格可能過時（ QSP-3 /中等風險/已修復）

問題描述：

採用Chainlink已棄用的API latestAnswer()獲取價格，價格可能已經過時。

NAOS採取的行動：

我們用latestRoundDate()替換了Chainlink已棄用的API latestAnswer() 。增加了最大可容忍延遲時間的設置，以確保oracle正常工作。

#4特權角色和所有權（ QSP-5 /低風險/已確認）

問題描述：

系統的治理擁有相當大的權力。

NAOS採取的行動：

部署後，治理角色將轉移到由NAOS核心團隊成員和可信社區成員組成的NAOS多重簽名帳戶。協議的設置將遵循NAOS治理過程的決定。

#5由於flush()存在經濟攻擊向量（ QSP-13 /信息風險/已確認）

問題描述：

由於“ flush ”功能將資產從Formation推送到連接的底層金庫，這迫使資產從用戶抵押的代幣轉換成外部金庫的共享代幣。

NAOS採取的行動：

我們會謹慎選擇DeFi項目作為底層金庫。此外，智能合約中的sentinel可以設置緊急模式以停止充值。

文檔: https://naosfinance.gitbook.io/naos-finance/

Github: https://github.com/NAOS-Finance

報告: https://certificate.quantstamp.com/full/naos-formation

總體而言，我們認為Formation智能合約在技術上是穩健可靠的。儘管如此，我們仍會繼續將產品的安全性放在首位。我們計劃在不久的將來聘請其他審計機構來評估智能合約，並將與白帽顧問密切合作並啟動賞金計劃來進行“持續審計”。

請點擊鏈接了解賞金計劃的詳細信息： https://immunefi.com/bounty/naos

我們對主網的發布感到興奮，我們充分意識到隨之而來的責任。我們將採取一切必要措施，為社區做正確的事！

關於Quantstamp

Quantstamp是區塊鏈安全領域的領導者，已經進行了200多次審計，為1000億美元資產保駕護航。 Quantstamp服務包括保護Layer-1區塊鏈、智能合約驅動的NFT和DeFi應用。 Quantstamp曾經為以下知名區塊鏈項目進行過審計： Maker 、 Curve 、 Sushi 、 Compound 、 Polygon 、 KeepDAO 、 Flow 、 Avalanche 、 Cardano 、 NEAR 、 Conflux 、 NBA Top Shot 、 SuperRare等。