CoW Flash Loan Router审计总结

  • Ackee
  • 发布于 2025-07-15 18:38
  • 阅读 28

本文是针对CoW Flash Loan Router的安全性审计报告。Ackee Blockchain Security对CoW协议进行了安全审查,发现了一些信息级别和警告级别的问题,主要集中在代码和gas优化方面。审计认为代码质量很高,文档全面,并确认了之前发现的三个问题的修复。

CoW Flash Loan Router 是 CoW 协议 的一个扩展,它使交易求解器能够在交易结算之前执行多个闪电贷。该系统通过专用的适配器合约与各种贷款提供商集成,从而允许在结算过程中进行连续的闪电贷执行。

CoW 委托 Ackee Blockchain Security 对 CoW 协议 进行安全审查,总共捐赠了 5 个工程日,时间为 2025 年 3 月 17 日至 3 月 21 日。额外分配了 1 个工程日,以确保高度的信心,特别是关于经过审计的代码与 CoW 协议 核心的集成。

之后 CoW 委托 Ackee Blockchain Security 对之前版本的发现的修复进行审查。没有发现新的发现

方法论

我们首先对合约逻辑进行了彻底的分析,识别了潜在的攻击向量和信任模型的影响,从而开始了我们的 审计。然后,我们采用了静态分析工具,包括 Wake,以验证是否不存在常见问题。

在审查期间,我们专注于确保:

  • assembly 代码不包含逻辑错误,包括内存安全违规;
  • 交易结算 payload 保持防篡改;
  • 阻止重入攻击;
  • 求解器、代币、贷款人和借款人不能损害用户资金;
  • 符合 ERC-3156 标准;
  • 正确使用瞬态存储;以及
  • 识别常见问题和 gas 优化 机会。

范围

审计是在 commit 930914f 上进行的。

范围包括 src 目录中的所有 Solidity 文件,不包括 src/vendored 目录。仅根据 vendor 文件在代码库中的使用情况对其进行了审查,其实际实现不在审查范围内。

修复审查是在给定的 commit f9c1867 上完成的。4 个发现中有 3 个被修复,并且确认 I2 可以从闪电贷费用减免中受益。没有发现新的发现

发现

安全发现的分类由两个等级决定:影响可能性。这种二维分类有助于明确各个问题的严重程度。通常,那些被评为中等严重程度,但可能只有团队才能发现的问题,通常会因可能性因素而降低到警告信息严重程度。

我们的审查发现了 4 个发现,范围从信息到警告严重程度不等。

代码展示了卓越的质量发现主要与代码和 gas 优化 改进有关。该代码库具有全面的文档,包括对注意事项和代码正确性推理的清晰解释。系统信任模型、预期用法和安全假设都得到了透彻的记录。

在修复审查中,4 个发现中有 3 个被确认已修复,并且确认 I2 可以从闪电贷费用减免中受益。没有发现新的发现

严重性:关键

未发现严重性为关键的问题。

严重性:高

未发现严重性为关键的问题。

严重性:中

未发现严重性为关键的问题。

严重性:低

未发现严重性为低的问题。

严重性:警告

W1:缺少事件

严重性:信息

I1:文档错误

I2:Aave 闪电贷调用优化

I3:接口中缺少 view

信任模型

与之交互的代币、闪电贷适配器和闪电贷提供商被信任不会中断交易的执行,从而导致交易回滚。这些实体也被信任不会利用抢先交易的机会来恶化市场状况,使其超出要结算的交易中设置的滑点容忍度。

结论

Ackee Blockchain Security 的完整 CoW 审计报告可以在这里找到。

我们很高兴对 CoW 进行审计,并期待再次与他们合作。

  • 原文链接: ackee.xyz/blog/cow-flash...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
Ackee
Ackee
Cybersecurity experts | We audit Ethereum and Solana | Creators of @WakeFramework , Solidity (Wake) & @TridentSolana | Educational partner of Solana Foundation