Kesuksesan 3 Audit Coredao
1.1 PENDAHULUAN
CoreDAO melibatkan Halborn untuk melakukan audit keamanan pada perangkat cerdas mereka. risalah yang dimulai pada 4 September 2022 dan berakhir pada 29 November, 2022. Penilaian keamanan mencakup kontrak pintar yang disediakan
ke tim Halborn.
1.2 RINGKASAN AUDIT
Tim di Halborn diberi waktu delapan minggu untuk pertunangan dan as-
menandatangani tiga insinyur keamanan penuh waktu untuk mengaudit keamanan
kontrak pintar. Insinyur keamanan adalah blockchain dan kontrak pintar
pakar keamanan dengan pengujian penetrasi lanjutan, peretasan kontrak pintar dan pengetahuan mendalam tentang berbagai protokol blockchain.
Tujuan audit ini adalah untuk:
• Pastikan bahwa fungsi smart contract beroperasi sebagaimana mestinya.
• Mengidentifikasi potensi masalah keamanan dengan kontrak cerdas.
1.3 PENDEKATAN & METODOLOGI PENGUJIAN
Halborn melakukan kombinasi pengujian keamanan manual dan otomatis
untuk menyeimbangkan efisiensi, ketepatan waktu, kepraktisan, dan akurasi dalam hal
dengan ruang lingkup audit ini. Sementara pengujian manual dianjurkan untuk
mengungkap kelemahan dalam logika, proses, dan implementasi; pengujian otomatis
teknik membantu meningkatkan cakupan kode dan dapat dengan cepat mengidentifikasi
item yang tidak mengikuti praktik terbaik keamanan. Pengikut
fase dan alat terkait yang digunakan selama audit:
• Penelitian arsitektur dan tujuan.
• Peninjauan dan penelusuran kode manual kontrak pintar.
• Menggambarkan fungsionalitas dan logika kontrak/konektivitas/fungsi
• Penilaian penggunaan dan keamanan secara manual untuk variasi Soliditas kritis
mampu dan fungsi dalam ruang lingkup untuk mengidentifikasi aritmatika yang terkait
kelas kerentanan.
• Pengujian manual dengan skrip khusus.
• Pemindaian file padat untuk kerentanan, hot-spot keamanana ataubug. (MitosX)
• Analisis Keamanan Statis untuk kontrak tercakup, dan fungsi importions (Meluncur)
• penyebaran Testnet. (Brownie, Remix IDE)
METODOLOGI RISIKO:
Kerentanan atau masalah yang diamati oleh Halborn diberi peringkat berdasarkan risikonya
metodologi penilaian dengan mengukur KEMUNGKINAN insiden keamanan
dan DAMPAK jika terjadi insiden. Kerangka kerja ini berfungsi untuk komunikasi
mengidentifikasi karakteristik dan dampak kerentanan teknologi.
Model kuantitatif memastikan pengukuran berulang dan akurat
memungkinkan pengguna untuk melihat karakteristik kerentanan yang mendasarinya
digunakan untuk menghasilkan skor Risiko. Untuk setiap kerentanan, ada risiko
tingkat akan dihitung pada skala 5 sampai 1 dengan 5 menjadi yang tertinggi
kemungkinan atau dampak.
SKALA RISIKO - KEMUNGKINAN
5 - Hampir pasti insiden akan terjadi.
4 - Probabilitas tinggi terjadinya insiden.
3 - Potensi insiden keamanan dalam jangka panjang.
2 - Kemungkinan rendah terjadinya insiden.
1 - Masalah yang sangat tidak mungkin akan menyebabkan insiden.
SKALA RISIKO - DAMPAK
5 - Dapat menyebabkan dampak atau kerugian yang menghancurkan dan tidak dapat dipulihkan.
4 - Dapat menyebabkan tingkat dampak atau kerugian yang signifikan.
3 - Dapat menyebabkan dampak sebagian atau kerugian bagi banyak orang.
2 - Dapat menyebabkan dampak atau kerugian sementara.
1 - Dapat menyebabkan dampak minimal atau tidak terlihat.
Tingkat risiko kemudian dihitung menggunakan jumlah dari dua nilai ini, menciptakan
nilai 10 banding 1 dengan 10 sebagai tingkat risiko keamanan tertinggi.
Audit Least Authority
Ringkasan 13 Halaman
Latar belakang
Core DAO telah meminta agar Otoritas Terkecil melakukan audit keamanan terhadap Core DAO Layer 1 dan Kontrak Cerdas.
Tanggal Proyek
● 17 Agustus - 23 September: Tinjauan Kode Awal (Selesai)
● 28 September: Pengiriman Laporan Audit Awal (Selesai)
● 31 Oktober - 3 November: Peninjauan Verifikasi (Selesai)
● 4 November: Pengiriman Laporan Audit Akhir (Selesai)
● 11 November: Pengiriman Laporan Audit Akhir yang diperbarui (Selesai)
Tim Peninjau
● John Amatulli, Peneliti dan Insinyur Keamanan
● Xenofon Mitakidis, Peneliti dan Insinyur Keamanan
● Steven Jung, Peneliti dan Insinyur Keamanan
● Giorgi Jvaridze, Peneliti dan Insinyur keamanan
Cakupan
Kode Target dan Revisi
Untuk audit ini, kami melakukan riset, investigasi, dan peninjauan Core DAO Layer 1 dan Smart Kontrak diikuti dengan pelaporan masalah, bersama dengan instruksi mitigasi dan remediasi sebagaimana diuraikan dalam
laporan ini. Repositori kode berikut dipertimbangkan dalam ruang lingkup untuk tinjauan:
● Repositori Rantai Inti:
https://github.com/coredao-org/core-chain
● Repositori Cermin BTC:
https://github.com/coredao-org/btcpowermirror
● Repositori Pembantu:
https://github.com/coredao-org/core-genesis-contract Secara khusus, kami memeriksa revisi Git untuk tinjauan awal kami
Certik audit Coredao
Comments
Post a Comment