Minterest объявляет об успешном завершении второго аудита безопасности, проведенного компанией Hacken

Вскоре после успешного завершения первого аудита безопасности смарт-контрактов, проведенного компанией Trail of Bits, Minterest с радостью сообщает о завершении второго аудита безопасности, проведенного Hacken, ведущей консалтинговой компанией, специализирующейся на безопасности блокчейна.

Полный отчет об аудите опубликован и доступен на нашем сайте

Почему безопасность важна

Когда вы принимаете решение разместить свои средства в протоколе DeFi, или когда вы совершаете любую транзакцию, связанную с передачей ваших денег учреждению или третьей стороне, безопасность и сохранность средств является одним из самых важных аспектов. Поскольку общий объем заблокированной стоимости (TVL) в секторе DeFi достиг исторических максимумов — последний пик превысил 240 миллиардов долларов — риск потенциальной уязвимости вызывает все большее беспокойство в отношении протоколов DeFi. В частности, уязвимости кода являются распространенным вектором атак, поэтому безопасность смарт-контрактов стоит на первом месте для любого протокола Defi.

Несмотря на тревожные цифры, индустрия значительно усилила меры по защите вложенных средств, применяя более строгий внешний и внутренний аудит кода и общие процессы безопасности платформы.
Minterest считает безопасность своим главным приоритетом, поэтому мы наняли несколько высококлассных компаний по безопасности для проверки всего процесса разработки. Мы поручили это Trial of Bits и Hacken, чтобы убедиться, что наш код отвечает самым строгим стандартам безопасности.

Что содержится в отчете Hacken?

Аудит безопасности смарт-контрактов проводился с использованием нескольких методик, а именно:

  • Обзор архитектуры
  • Функциональное тестирование
  • Вычислительная
  • Верификационная
  • Обзор вручную

Компания Minterest получила 10 баллов из 10 за качество документации и архитектуры. В ходе первого аудита инженеры по безопасности обнаружили 2 проблемы высокой, 4 средней и 4 низкой степени значимости. Эти проблемы были быстро решены командой во время второго аудита. Оценка безопасности после второго аудита составила 10 из 10.

Ниже приводится разбивка проблем, обнаруженных командой Hacken, по четырем различным уровням значимости.

Критический

Инженеры по безопасности не обнаружили никаких критических проблем.

Высокий

Недостаточный баланс для распределения — Аудит показал, что код контракта «Vesting.sol» подтвердил, что токенов достаточно только для каждого отдельного распределения. Однако не было проверки того, что баланс контракта достаточен для выполнения всех этих записей о вложениях. Контракт не гарантировал, что все пользователи получат свои средства.

Статус: Исправлено

Неограниченный доступ к функциям — Функция «updateBorrowIndexesHistory» из контракта «EmmisionBooster.sol» может быть вызвана кем угодно, что может привести к нежелательному состоянию контракта.

Статус: Исправлено

Средний

Недостаток событий — события «MemberAdded» из контракта «Whitelist.sol» не были выпущены в конструкторе, когда новые адреса вносились в вайтлист. Если существовала какая-то внецепочечная логика, зависящая от события «MemberAdded», она могла работать некорректно.

Статус: Исправлено

Избыточные модификаторы — Контракт «MToken.sol» имеет избыточные модификаторы «nonReentrant». Как только внешние вызовы не выполняются, модификатор «nonReentrant» становится избыточным.

Статус: Подтверждено

Избыточные коментарии с пометкой TODO — Код содержал много коментариев «TODO». Это может указывать на то, что код не был доработан.

Статус: Исправлено

Дорогостоящие циклы — Код в контракте «EmmisionBooster.sol» не позволял выдавать бонусы для разных рынков частями и обрабатывал все за один вызов. Функция могла потерпеть неудачу, если количество рынков, возвращаемых «supervisor.getAllMarkets()», было достаточно большим.

Низкий

Контракт может быть объявлен как абстрактный — В контракте «SupervisorV1Storage.sol» были некоторые функции, которые должны быть реализованы и никогда не использоваться отдельно.

Статус: Исправлено

Ошибочное именование — Название функции «redeemAllowedInternal» в контракте «Supervisor.sol» говорит о том, что она что-то выкупает. Однако это простая функция представления, используемая для целей проверки.

Статус: Исправлено

Избыточное добавление — Добавление 30 секунд для текущей метки времени в функциях «swapTokensForExactTokens, swapExactTokensForTokens» в контракте «DeadDrop.sol» является избыточным, поскольку своп будет выполняться во время того же вызова и использования «block.timestamp» в качестве крайнего срока достаточно.

Итог

Компания Minterest заботится о безопасности. Пройдя второй аудит безопасности без каких-либо проблем, мы рады предоставить полностью рабочую платформу, которой вы можете доверить безопасное хранения ваших средств.


О компании Minterest

Minterest — это уникальный протокол заимствования/кредитования, созданный лидерами отрасли с целью обслуживания миллиардов долларов в TVL (общей заблокированной стоимости), в проектах кредитования, для которого интересы пользователей превыше всего. Он представляет собой справедливую, финансовую и децентрализованную платформу.

Протокол Minterest представляет первый в мире механизм обратного выкупа, который автоматически передает доход участникам сообщества. Таким образом, пользователи получают доход, превышающий существующие на рынке ставки заимствования/кредитования, создавая потенциал для получения наибольшей долгосрочной доходности в DeFi. Протокол также включает ончейн-фонд, который агрегирует доходы от ликвидации и делится ими с пользователями.