Amulet — безопасный обзор кода от Кудельски (22/09)
Протокол Amulet Protocol должен быть запущен в мейннете в ближайшее время, и мы рады предоставить отчет компании Kudelski Security для всеобщего обозрения.
Защита имущества существует с тех пор, как появились записи. Как только появились предметы или имущество, возникла…
После успешной кампании AmuNation и TestNet, это следующий этап нашего прогресса перед тем, как наш протокол будет полностью запущен. Amulet — это протокол покрытия DeFi, построенный на базе экосистем Rust, начиная с Solana. Мы предоставим простые, надежные варианты прикрытия для всех в web3, и поэтому нам крайне важно убедиться, что наше решение готово к выходу на рынок.
Этот отчет от Kudelski, первый из нескольких аудитов, готов и позволяет нам чувствовать себя уверенно, что наш код и безопасность находятся там, где они должны быть для запуска.
Компания Kudelski Security провела оценку защищенного кода системы смарт-контрактов Amulet Protocol.
Оценка проводилась удаленно командой Kudelski Security. Проверка исходного кода проводилась с 7/14 по 8/11 и была направлена на достижение следующих целей:
- Предоставить заказчику оценку общего состояния безопасности и любых рисков, обнаруженных в среде во время работы.
- Предоставить профессиональное заключение о надежности кода, адекватности и эффективности принятых мер безопасности.
- Выявить потенциальные проблемы и включить рекомендации по улучшению, основанные на результатах нашего обзора и тестов.
Проблемы, обнаруженные в коде, были НИЗКОГО или ИНФОРМАЦИОННОГО уровня. Это показывает, что общий профиль риска приложения на момент проведения оценки является низким.Ниже перечислены основные темы и проблемы, выявленные в период тестирования. Эти, а также другие пункты в разделе выводов, должны быть приоритетными для исправления, чтобы снизить риск, который они представляют.
Безопасная математика использовалась часто, но должна использоваться более последовательно во всем коде, чтобы предотвратить появление потенциальных уязвимостей в будущих обновлениях.
Продолжительность действия страхового полиса, даты истечения срока действия претензий и даты выплат по претензиям могут быть подвержены влиянию недостаточной точности, когда вместо времени UNIX используются эпохи dev.
Одиночные учетные записи администраторов обладают значительными возможностями. Эти функции должны быть ограничены требованием наличия нескольких подписей для предотвращения сговора. Нам сообщили, что в настоящее время это происходит вне цепочки, но в будущем для прозрачности это должно происходить на цепочке.Во время тестирования были отмечены следующие положительные замечания относительно объема задания:
Контакты клиента были очень любезны в проведении совместных безопасных обзоров кода с командой аудита смарт-контрактов Kudelski Security.
Использование фреймворка Anchor является очень последовательным и соответствует рекомендованному синтаксису.
Критические вопросы в архитектуре или логике кода обсуждались немедленно в ходе телеконференции.
Для более глубокого изучения технических аспектов и дальнейших выводов мы выложили отчет в открытый доступ для всех желающих.
Получить доступ к отчету можно здесь: https://files.amulet.org/public/AmuletGlobalMTRLabs.pdf.
Если у вас есть вопросы, не стесняйтесь обращаться к нам в Discord: https://discord.gg/amuletprotocol