本文是针对CoW Flash Loan Router的安全性审计报告。Ackee Blockchain Security对CoW协议进行了安全审查,发现了一些信息级别和警告级别的问题,主要集中在代码和gas优化方面。审计认为代码质量很高,文档全面,并确认了之前发现的三个问题的修复。
CoW Flash Loan Router 是 CoW 协议 的一个扩展,它使交易求解器能够在交易结算之前执行多个闪电贷。该系统通过专用的适配器合约与各种贷款提供商集成,从而允许在结算过程中进行连续的闪电贷执行。
CoW 委托 Ackee Blockchain Security 对 CoW 协议 进行安全审查,总共捐赠了 5 个工程日,时间为 2025 年 3 月 17 日至 3 月 21 日。额外分配了 1 个工程日,以确保高度的信心,特别是关于经过审计的代码与 CoW 协议 核心的集成。
之后 CoW 委托 Ackee Blockchain Security 对之前版本的发现的修复进行审查。没有发现新的发现。
我们首先对合约逻辑进行了彻底的分析,识别了潜在的攻击向量和信任模型的影响,从而开始了我们的 审计。然后,我们采用了静态分析工具,包括 Wake,以验证是否不存在常见问题。
在审查期间,我们专注于确保:
审计是在 commit 930914f
上进行的。
范围包括 src 目录中的所有 Solidity 文件,不包括 src/vendored
目录。仅根据 vendor 文件在代码库中的使用情况对其进行了审查,其实际实现不在审查范围内。
修复审查是在给定的 commit f9c1867
上完成的。4 个发现中有 3 个被修复,并且确认 I2 可以从闪电贷费用减免中受益。没有发现新的发现。
安全发现的分类由两个等级决定:影响和可能性。这种二维分类有助于明确各个问题的严重程度。通常,那些被评为中等严重程度,但可能只有团队才能发现的问题,通常会因可能性因素而降低到警告或信息严重程度。
我们的审查发现了 4 个发现,范围从信息到警告严重程度不等。
代码展示了卓越的质量,发现主要与代码和 gas 优化 改进有关。该代码库具有全面的文档,包括对注意事项和代码正确性推理的清晰解释。系统信任模型、预期用法和安全假设都得到了透彻的记录。
在修复审查中,4 个发现中有 3 个被确认已修复,并且确认 I2 可以从闪电贷费用减免中受益。没有发现新的发现。
未发现严重性为关键的问题。
未发现严重性为关键的问题。
未发现严重性为关键的问题。
未发现严重性为低的问题。
W1:缺少事件
I1:文档错误
I2:Aave 闪电贷调用优化
I3:接口中缺少 view
与之交互的代币、闪电贷适配器和闪电贷提供商被信任不会中断交易的执行,从而导致交易回滚。这些实体也被信任不会利用抢先交易的机会来恶化市场状况,使其超出要结算的交易中设置的滑点容忍度。
Ackee Blockchain Security 的完整 CoW 审计报告可以在这里找到。
我们很高兴对 CoW 进行审计,并期待再次与他们合作。
- 原文链接: ackee.xyz/blog/cow-flash...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!