本文是针对CoW Flash Loan Router的安全性审计报告。Ackee Blockchain Security对CoW协议进行了安全审查,发现了一些信息级别和警告级别的问题,主要集中在代码和gas优化方面。审计认为代码质量很高,文档全面,并确认了之前发现的三个问题的修复。
CoW Flash Loan Router 是 CoW 协议 的一个扩展,它使交易求解器能够在交易结算之前执行多个闪电贷。该系统通过专用的适配器合约与各种贷款提供商集成,从而允许在结算过程中进行连续的闪电贷执行。
CoW 委托 Ackee Blockchain Security 对 CoW 协议 进行安全审查,总共捐赠了 5 个工程日,时间为 2025 年 3 月 17 日至 3 月 21 日。额外分配了 1 个工程日,以确保高度的信心,特别是关于经过审计的代码与 CoW 协议 核心的集成。
之后 CoW 委托 Ackee Blockchain Security 对之前版本的发现的修复进行审查。没有发现新的发现。
方法论
我们首先对合约逻辑进行了彻底的分析,识别了潜在的攻击向量和信任模型的影响,从而开始了我们的 审计。然后,我们采用了静态分析工具,包括 Wake,以验证是否不存在常见问题。
在审查期间,我们专注于确保:
- assembly 代码不包含逻辑错误,包括内存安全违规;
- 交易结算 payload 保持防篡改;
- 阻止重入攻击;
- 求解器、代币、贷款人和借款人不能损害用户资金;
- 符合 ERC-3156 标准;
- 正确使用瞬态存储;以及
- 识别常见问题和 gas 优化 机会。
范围
审计是在 commit 930914f 上进行的。
范围包括 src 目录中的所有 Solidity 文件,不包括 src/vendored 目录。仅根据 vendor 文件在代码库中的使用情况对其进行了审查,其实际实现不在审查范围内。
修复审查是在给定的 commit f9c1867 上完成的。4 个发现中有 3 个被修复,并且确认 I2 可以从闪电贷费用减免中受益。没有发现新的发现。
发现
安全发现的分类由两个等级决定:影响和可能性。这种二维分类有助于明确各个问题的严重程度。通常,那些被评为中等严重程度,但可能只有团队才能发现的问题,通常会因可能性因素而降低到警告或信息严重程度。
我们的审查发现了 4 个发现,范围从信息到警告严重程度不等。
代码展示了卓越的质量,发现主要与代码和 gas 优化 改进有关。该代码库具有全面的文档,包括对注意事项和代码正确性推理的清晰解释。系统信任模型、预期用法和安全假设都得到了透彻的记录。
在修复审查中,4 个发现中有 3 个被确认已修复,并且确认 I2 可以从闪电贷费用减免中受益。没有发现新的发现。
严重性:关键
未发现严重性为关键的问题。
严重性:高
未发现严重性为关键的问题。
严重性:中
未发现严重性为关键的问题。
严重性:低
未发现严重性为低的问题。
严重性:警告
W1:缺少事件
严重性:信息
I1:文档错误
I2:Aave 闪电贷调用优化
I3:接口中缺少 view
信任模型
与之交互的代币、闪电贷适配器和闪电贷提供商被信任不会中断交易的执行,从而导致交易回滚。这些实体也被信任不会利用抢先交易的机会来恶化市场状况,使其超出要结算的交易中设置的滑点容忍度。
结论
Ackee Blockchain Security 的完整 CoW 审计报告可以在这里找到。
我们很高兴对 CoW 进行审计,并期待再次与他们合作。
