CertiK已对RioDeFi三个模块进行审计并完成RioWallet渗透测试

在过去十年中,多种基于区块链的加密货币为比特币生态系统提供了以去中心化方式提供的创新金融工具和服务,并促进了去中心化金融(DeFi)的繁荣。

DeFi的主要价值是主张开放的金融生态系统,任何人都可以安全、分散地存储、交易和投资其资产,从而获得比传统金融系统更高的回报。
RioDeFi就是这样一个去中心化金融的基础设施平台,旨在开发将企业、金融机构和银行与分布式账本系统连接起来的解决方案,从而通过连接传统金融和去中心化金融来加速数字资产应用。
RioDeFi的核心是RioChain。
所有建立在RioChain上的应用都可实现降低交易费用、加快确认速度、提高效率以及提高全球影响力。
该链的特点包括:
· 互操作性。RioChain是建立在Parity Substrate区块链开发框架上的公有链,与POLKADOT网络完全兼容。
· 连接性。RioWallet提供了对支付系统的访问,并允许用户从其加密账户中提取法定货币。
· 流动性。RioDeFi连接中心化与去中心化的金融系统,可以促进跨链交易。
RioDeFi选择与CertiK合作,并在系统范围内检查其源码中的问题和漏洞。RioDeFi主动进行这些测试的做法体现了他们对安全问题的重视,目前CertiK对其全面的评估检查以及对RioWallet的渗透测试已完成。
审核与渗透测试过程
Rio DeFi团队与CertiK安全技术团队配合,对于即将发布的基于Substrate的系统进行设计和执行情况的评估检查。检查的内容包括 :
· RioBridge 
· RioAssets
· RioRuntime
本次审查的目标是RioDeFi的实施情况,从而了解其商业模式以及总体设计架构,发现其潜在的安全漏洞和可能危及软件生产的故障。在此过程中,重点考虑了以下几个方面:
· 审查Rio Runtime、Rio Assets和RioBridge的安全和实施的健全性
· 评估代码库,以确保符合当前的最佳做法和行业情况标准
· 确保系统逻辑符合客户的诉求和意图
此外,CertiK还对RioDeFi移动钱包应用进行了应用渗透测试,针对修复和改善安全状况提出建议。渗透测试的主要目的是测试此应用对各种针对应用程序控制和功能的实际攻击的整体弹性。如此一来,RioDeFi就能够了解其自身弱点,并针对性的进行修复。
审查方面,代码库很好地利用了框架的特殊性和Rust的最佳实践。CertiK的工程师团队只发现并修复了一些小的异常。
工程师表示:”在关于特权功能处理(privileged functionality handling)的实现和围绕框架的安全设计与合理的参数调整方面,代码库能够遵守框架规范,并与模块的预期功能达成一致。”
渗透测试方面,CertiK针对包括OWASP十大漏洞在内的不同的非固定漏洞进行了测试。CertiK采用了白盒测试的方法,在Github共享仓库提供的源代码内进行了测试。
安全建议
除功能性外,CertiK安全技术团队建议改进代码库的文献资料。虽然有些部分很好的储存下来,但其他部分依然缺乏适当的文献资料。此外,所有与项目有关的文件、自述文件、评论、白皮书、黄皮书都应该有相对应的英文版本。
鉴于RioDeFi团队的丰富经验,CertiK有信心RioDeFi所有文献资料能在主网发布时更新完毕并完全到位。
CertiK 强烈建议所有项目都应对完整的代码库进行严格的单元测试。这样以确保在所有边缘情况下,甚至在审核之前,就实现预期的功能和结果。严格的单元测试能确保代码拥有最高质量,并能使所有的审核工作更有价值。
CertiK每次审计都将采用各种检测方法,包括手动、静态和动态分析,以确保项目不会受到已知攻击方法和潜在漏洞的威胁。CertiK的工程师与安全审计团队将利用丰富的经验,为区块链及您的项目创建一个更安全、更强大的系统。
迄今为止,CertiK已为超过200名机构用户提供了优质服务,保护了超过80亿美元的数字资产与软件系统免受安全损失。