Результаты аудита безопасности Firefly
*Русскоязычный перевод оригинальной статьи от 17 августа 2021 года
В Firefly мы стремимся создать высокопроизводительный и удобный DEX. Для этого мы заботимся о том, чтобы наши коды отвечали самым высоким стандартам безопасности и прозрачности. Мы прикладываем значительные усилия для разработки максимально безопасного кода и архитектуры, а также часто проверяем их для обеспечения качества. Мы регулярно тестируем и пересматриваем наши продукты на предмет уязвимостей кода и бизнес-логики. И хотя мы считаем, что сделали все возможное для создания максимально надежных продуктов, мы также сотрудничаем с PeckShield для аудита наших контрактов, а также с Halborn для проверки уязвимости киберзащиты информационной системы полного цикла (penetration test of the full stack). Кроме того, мы договорились о сотрудничестве с Trailof Bits для проведения аудита, запланированного на декабрь 2021 года, который будет охватывать не только все существующие контракты, но также несколько новых функций и контрактов, которые мы добавляем по ходу дела. Для большего вовлечения коммьюнити и обеспечения прозрачности мы запланировали запуск Тестнета (TestNet) и программы Bug Bounty (Bug Bounty Program). После успешного завершения аудита Trail of Bits мы предоставим открытый доступ к коду, а также начнем программу Bug Bounty.
На данный момент компания PeckShield завершила аудит архива данных dTrade V1:
- смарт-контрактов управления (Governance), страхового фонда (Insurance Fund), вестинга токенов (Token Vesting) и Timelock,
- обнаружив 0 критических, 0 серьезных, 0 средних, 3 незначительных и 1 информационную проблему.
Дальнейшие аудиты, включающие основные контракты биржи, будут завершены в сентябре 2021 года. Из 3 незначительных проблем 2 были решены, а 1 принята к вниманию. Данная проблема — касающаяся стоимости выполнения предложения (proposal execution cost) — невозможно воспроизвести в наших контрактах и приложении, поскольку ни один из функциональных вызовов (function calls) не требует собственных токенов. Причем даже в том маловероятном случае, когда управление (Governance) одобрит предложение по реализации такой функции в будущем, это предложение должно будет также включать необходимые изменения в Governance::execute() методе e Governance::execute()
method, чтобы гарантировать, что вызов не будет отменен. Более подробную информацию обо всех этих проблемах вы можете найти в полном тексте отчета.
Halborn — элитная компания по кибербезопасности для блокчейн-организаций — завершила пентестирование методом “белого ящика” (тестирование на проникновение методом “белого ящика”, White Box Penetration Test) приложений страхового фонда (Insurance Fund) и управления (Governance), обнаружив 0 критических, 0 серьезных, 3 средних, 3 незначительных и 2 информационные проблемы. В ходе проведения тестирования методом “белого ящика” для облегчения проверки dTrade предоставила код контракта и необходимую документацию. Все проблемы, указанные в отчете по тестированию методом “белого ящика”, были устранены. С подробностями вы можете ознакомиться в полном отчете. В настоящее время Halborn проводит функциональное тестирование приложений (тестирование методом “черного ящика”, Black-Box testing), результаты которого ожидаются к концу августа 2021 года. В ходе тестирования методом “черного ящика” другой пен-тестировщик (тестировщик, проверяющий уязвимость киберзащиты информационной системы, penetration tester) из Halborn, который не видел приложения, самостоятельно, без предварительного ознакомления с кодом, будет собирать информацию о программном обеспечении Firefly и попытается обнаружить слабые места в системе безопасности, имитируя кибератаку.
В дополнение к этому, мы сделали наши контракты обновляемыми, а также создали контракты управления (Governance contracts), предоставляя нашему коммьюнити возможность проголосовать за те или иные обновления или корректировать параметры, в случае, когда это необходимо. Мы верим в возможность осуществления идеи Web3 об инклюзивных протоколах, доступных для всех и управляемых самими пользователями.
В построении надежной, «не требующей доверия» среды (trustless environment) вклад нашего коммьюнити так же важен, как и усердие всей нашей команды; а потому мы призываем всех быть активными участниками нашего управления (Governance), биржи Тестнета (TestNet exchange) и программы Bug Bounty. Только объединив наши усилия, команде и коммьюнити Firefly удастся создать безопасную, надежную и прозрачную среду для всех желающих принять участие.
Если вы заинтересованы в торговле бессрочными контрактами, опционами или хотите узнать больше о Firefly, присоединяйтесь к нашему коммьюнити на Discord, подписывайтесь на наш канал в Telegram, а также на наши обновления по адресу https://firefly.exchange
Внимание: Продукты, доступные на Firefly, недоступны для использования лицами США или резидентами любой страны или территории, на которые распространяются санкции США.
- Firefly