评估分散金融的智能合同安全（DECI）

分散的产量农场充足，接近Apriorit，并要求检查其分散金融项目的智能合同安全性。

作为与区间链和加密货币技术合作的公司，我们的客户必须确保所有基础架构元素的完美安全性，因此它们可以保持可靠的声誉并获得客户的信任。

Apriorit团队对DEMI项目进行了全面的安全审计。我们在智能合约中检测了多种漏洞，并提供了解决这些问题的最佳实践。

下载此案例研究的PDF版本
（2,58 MB）

客户端

我们的客户，pl，是一个用于创建流动性和交易的平台和FA 1.2和FA 2令牌Tezos区块链。与集中交换不同，充足允许用户直接从其钱包交易，并无法控制其资金。这就是为什么很多，以确保其智能合同的顶级安全性和性能是必不可少的。

挑战

充分接近我们，要求对分散金融智能合同实施执行安全审计。由于他们在DEMI Sector工作，我们的客户需要确保他们的智能合同顺利运作，用户的资金是安全和声音的。

很多希望收到对其智能合同安全性的无偏见评估，并发现可能的漏洞。

结果

在执行交换和DECI SMART合同安全审核后，我们发现了15个漏洞：

• 与绕过系统规范的两个高风险漏洞
• 与过度管理员权利有关的六种中等风险漏洞可能导致意外行为
• 七个低风险漏洞，几乎没有机会打破合同的执行流程

由于Apriorit的快速反馈智能合同漏洞和关于如何解决这些问题的建议，我们的客户能够快速有效地解决最关键的问题。

我们的方法

为了帮助我们的客户确保其产品的安全性，我们聚集了一个包含经验审计智能合同的区块链开发商团队。该团队分析了该项目，定义了工作范围，计划行动，并收到了客户对计划的确认。

我们的安全审核包括检查两种类型的智能合约的安全性：

• 审理智能合同
• 交换智能合同

要检查客户端智能合同的安全性，我们使用以下方法：

• 智能合同源代码的行为分析
• 智能合同检查我们的漏洞数据库和手动攻击
• 潜在脆弱地区的象征性分析
• 手动代码审查和代码质量评估
• 单元测试覆盖分析
• 气体使用分析

我们的安全评估的三个主要步骤包括：

1. 检查智能合同安全性
2. 审查智能合同代码
3. 分析测试覆盖范围

让我们从智能合同中查找漏洞。

智能合同安全检查

首先，我们的注意力在客户智能合约中找到可能的漏洞。为此，Apriorit团队应用了我们的安全核对表，涵盖了主要类型的安全风险，包括未受保护的函数和存储分配漏洞。

要对SWAP和DEFI SMART合同进行安全审核，我们使用了手动代码分析。一旦我们发现潜在的漏洞，我们就会执行手动攻击，检查这些漏洞是否可利用。在安全审核期间，我们的团队检测到：

1.交换智能合同中的四种漏洞：两个高风险，一种中等风险和一个低风险。下面，我们描述了最重要的漏洞：

2.审理智能合约的十一漏洞：五种中等风险，其余低风险。以下是最重要的：

高风险漏洞可以潜在允许欺诈性选民阻止尝试从选民列表中删除它们，并重置对它们的持续投票过程。为了解决这些问题，我们建议改变投票过程的架构的方法。

中等风险漏洞涉及过度管理员访问权限，可以导致在没有业主批准的情况下转移奖励代币，跳过薄荷过程，损害了业务的投票保护等。

要解决这些问题，我们建议我们的客户采取各种操作以将管理员访问权限限制对用户的余额和绘制令牌。这些操作包括实现待处理参数，修改了管理员对用户帐户的权限，并添加了投票保护。

我们的团队通过发送及时更新来建立与客户的明确和高效的沟通，以便他们可以将最关键的漏洞脱离蝙蝠。这对高风险漏洞特别重要，因为修复它们可能对整个解决方案架构产生很大影响，因此需要时间和精力。

在安全审计结束时，我们的客户设法解决最关键的高风险漏洞，并显着提高了智能合同的安全态度。

智能合同代码审查

审阅智能合同源代码至关重要，因为它可以帮助您避免编码反图案，为所有团队成员提供代码，并消除潜在的错误。由于无法对部署的智能合同进行更改，因此我们必须确保在部署之前确保合同安全。

在智能合同安全评估期间，我们将合同代码与我们的最佳实践列表进行了比较。通过这样做，我们确定了智能合同代码中的潜在弱点，并为客户组成了12个关键建议：

测试覆盖分析

单元测试帮助开发人员在将合同部署到区块链之前，编译器中错过的代码中的问题。这就是为什么检查单元测试覆盖率是我们审计的关键部分。

在此阶段，我们的团队评估了单位测试覆盖的百分比，并为每个合同突出显示了未发现的测试案例。一旦我们的客户修复了重要案件，我们再次检查测试覆盖并看到三种智能合同中的两项显着改善。

由于Apriorit的作品，我们的客户管理层可以大大提高其智能合同的测试覆盖范围。对于某些合同，他们将测试覆盖率提高了20％至30％。

增加测试覆盖对于测量测试努力的有效性并在影响用户之前找到问题至关重要。

影响

安全审核对于分散的金融产品至关重要，因为它们允许您识别漏洞和安全漏洞。我们为客户执行的交换和审理智能合同审核帮助他们确保其项目安全可靠。

收到全面报告后，客户继续使用我们的建议与代码质量和其他安全实践有关。此外，他们计划解决报告中提到的其余开放问题，以改善智能合同的安全态度。

总的来说，很高兴地知道在评估期间没有发现漏洞，这可能导致资金丧失，并且可以修复所有已确定的媒体和低风险漏洞。并且由于他们感到符合他们的智能合同安全性，我们的客户可以进一步改进和向当前功能添加功能。更不用说无偏见的安全审核可以帮助赢得用户的信任。

准备检查您的产品安全性吗？联系Apriorit以获得全面的安全评估以及有关的改进建议。