评估背景
近期,由于火币生态链 Heco 主网的正式上线,以及在同一天,Huobi DeFi Labs 宣布成立「Heco 生态基金」,将重点关注 Heco 公链上的DeFi应用项目,因此,Heco 生态社区中吸引了大量 DeFi 应用项目。比如最近新上线的项目LendHub,它一个基于火币生态 Heco链的去中心化借贷平台,支持多个Hceo链上币种的质押借贷,用户通过在 LendHub 上进行借贷即可获得激励通证 LHB 奖励。目前零时科技已对该项目进行了安全评估。
评估范围
零时科技安全团队凭借多年的代码审计经验,以及对智能合约的安全攻防研究,团队通过人工白盒安全测试+内部自动化合约安全审计工具结合的方式对合约源代码进行安全评估,并且采用模拟黑客攻击的方式进行黑盒安全测试,评估LendHub项目多个合约。
此次安全评估共计19个常见智能合约漏洞项,包括智能合约常规漏洞、代码一致性检测、代码开发规范、功能业务逻辑性缺陷、组合型风险等,具体评估项目如下:
在安全评估过程中零时科技安全团队积极与LendHub团队进行沟通交流,尽可能多的发现合约中存在的安全隐患,目前已经完成对LendHub项目的安全评估,并且将评估结果及报告同步给官方团队,零时科技安全团队会继续同LendHub团队保持沟通,并协助对合约进行升级优化,提升项目的安全性。
安全建议
零时科技安全团队在这里强烈建议:由于智能合约的复杂性,任何 DeFi 项目在上线前都需要经过专业的安全团队进行充分的安全审计,如在DeFi项目运行中存在安全方面的任何技术问题,采取第三方安全技术解决方案不失为一种行之有效的办法,加强对项目的定期安全检测,以防DeFi项目暴露在安全风险之下,降低合约发生意外风险的概率,从而减少不必要的损失,例如:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
LendHub项目简介
LendHub 是一个基于火币生态 Heco链的去中心化借贷平台,支持多个Hceo链上币种的质押借贷,用户通过在 LendHub 上进行借贷即可获得激励通证 LHB 奖励。LHB 将作为 LendHub 平台的枢纽,通过支持火币生态链上资产相互通融的质押借贷,实现火币生态资产间的相互通融与价值传递。
LHB总量十亿枚,其中80%分配给平台挖矿用户,每日产出约为46万个。剩余20%留给团队,线性解锁。
挖矿产出规则:LendHub合约中,每3秒一块Heco区块,每个区块都会产出16个LHB,LHB将会被分配借贷市场中(HT、ETH、HUSD、HBTC、HDOT等),以该市场中产生的利息作为比例,进行分配,50%的LHB会分配给资产提供者,50%的LHB分配给借款人,合约根据用户资产在所在市场内占比获得相应LHB。
零时科技团队简介
零时科技,是一家专注区块链生态应用安全的实战创新型区块链安全企业。提供安全服务包括交易平台安全审计、钱包安全审计、合约安全审计、链安全审计、数字资产监控追溯、数字资产及交易反洗钱等方面。自研产品有合约安全自动化审计、合约防火墙、赏金平台、数字资产及交易AML系统。目前零时科技已为大量区块链生态应用提供安全审计服务,并获得客户的一致好评。
来源:freebuf.com 2021-03-03 18:25:40 by: noneage
请登录后发表评论
注册