Minterest 宣布顺利完成 Hacken 的第二次安全审计

在成功完成由 Trail of Bits 所执行的第一次智能合约安全审计后不久,Minterest 很高兴地宣布我们已经通过 Hacken (一家专注于区块链安全的领先安全咨询公司)完成第二次安全审计。

完整的审计报告现已公开,欢迎进入我们的官网查看

为什么安全性如此重要

在您决定将资金通过 DeFi 协议投资时,或任何涉及将您的资金交给机构或通过第三方交易时,资金的安全性是最重要的考虑因素之一。 随着 DeFi 领域内锁定的总价值 (TVL) 攀升至历史新高 —— 最新峰值超过 2400 亿美元 —— DeFi 协议中潜在风险越来越受到关注。 况且,代码漏洞是一种常见的攻击媒介,因此智能合约安全性是任何 Defi 协议的首要考虑因素。行业已通过采用更严格的外部和内部代码审计以及整体平台安全流程来增强资金保护措施。

Minterest 将安全视为重中之重,因此我们聘请了一些顶级安全公司来审查我们的整个开发过程。 我们委托 Trail of Bits 和 Hacken 确保我们的代码符合最严格的代码安全的标准 。

Hacken 报告的内容是什么?

智能合约安全审计的执行考虑了多种方法,包括以下:

  • 架构评测
  • 功能测试
  • 计算机辅助测试
  • 核查
  • 人工审核

Minterest 在文档和架构质量方面得分 10 分(满分 10 分)。 在初步审计中,安全工程师发现了 2 个高危、4 个中危和 4 个低危的漏洞。 这些问题在第二次审核中被团队迅速解决。 第二次审核后的安全评分为 10 分(满分 10 分)。

下面是 Hacken 团队对于其所发现的四个不同级别问题的细化。

紧急问题

安全工程师没有发现任何需要解决的紧急问题。

高危问题

归属余额不足 —— 审计显示,“Vesting . Sol” 合约的代码可以验证有足够的通证用于每一笔归属额度。但是,没有办法核实合约余额是否足以满足所有的归属记录。合约并不能保证所有用户都能收到资金

状态: 已修复

不受限制的函数访问 —— 任何人都可以调用 “EmmionBooster.sol” 合约中的 “updateBorrowIndexesHistory” 函数,这可能会导致不理想的合约状态。

状态: 已修复

中危问题

遗漏事件发行 —— 当新地址被列入白名单时,构造函数中未发出来自 “Whitelist.sol” 合约的 “MemberAdded” 事件。 如果有一些依赖于 “MemberAdded” 事件的链下逻辑,可能导致不能正常工作。

状态已修复


冗余修饰符 ——合约“MToken.sol”具有冗余的 “nonReentrant” 修饰符。 只要没有执行外部调用,“nonReentrant”修饰符就是多余的。

状态: 已确认

TODO 注意事项 —— 代码中包含大量的 “TODO” 注意事项。这可能表明该代码尚未完成

状态 :已修复

循环的代价过大—— “EmmisionBooster.sol” 合约中的代码不允许为不同的市场批量启用释放增长,并且不能在一次调用中处理所有问题。如果“supervisor.getAllMarkets()”返还的市场数量过大,可能会导致函数失败。

状态:已缓解

低危问题

合约被宣称为可分离的 —— “SupervisorV1Storage.sol” 合约有一些功能理应实现但却永远不能单独使用。

状态: 已修复

误导性命名 —— 合约 “Supervisor.sol” 中的函数名称“redeemAllowedInternal”表示它兑换了一些东西。 然而,它是一个用于验证目的的简单视图函数。

状态: 已修复

冗余添加 —— 在合约 “DeadDrop.sol” 中的函数 “swapTokensForExactTokens,swapExactTokensForTokens” 中为当前时间戳添加 30 秒是多余的,因为交换将在同一个调用期间执行,并且使用 “block.timestamp” 作为截止日期就足够了。

总结

Minterest 非常重视安全问题,在顺利通过第二次安全审核后,我们很高兴能为各位社区朋友们提供一个值得您完全信任的安全地持有您的资金的可操作性极强的平台。


关于我们

是一个独特的 Borrowing/Lending 协议,由行业领导者构建,旨在为 DeFi Borrowing/Lending 项目中数十亿的总价值锁定 (TVL) 提供服务,其宗旨是以用户利益为核心,为用户提供一个Decentralize、公平、普惠的 Financial 平台。

Minterest 协议拥有全球首创的回购机制,自动将收益转移给为平台作出贡献的用户。通过这种方式,用户可以在行业领先的 Borrowing/Lending 利率之外获得协议收入,从而创造出 DeFi 中最高长期收益率潜力。该协议还有一个 On-chain Treasury,用于获取并与用户分享清算收入