Trang chủ » CertiK giúp kiểm tra mô-đun dữ liệu cho RioDeFi đồng thời kiểm tra xâm nhập cho RioWallet

CertiK giúp kiểm tra mô-đun dữ liệu cho RioDeFi đồng thời kiểm tra xâm nhập cho RioWallet

bởi Valley Truong
CertiK giúp kiểm tra mô-đun dữ liệu cho RioDeFi đồng thời kiểm tra xâm nhập cho RioWallet

RioDeFi, một nền tảng cơ sở hạ tầng DeFi, nhằm mục đích đẩy nhanh việc áp dụng tài sản kỹ thuật số bằng cách kết nối tài chính truyền thống và phi tập trung. Điều này được thực hiện bằng cách phát triển các giải pháp kết nối doanh nghiệp, tổ chức tài chính và ngân hàng với hệ thống sổ cái phân tán.

Cốt lõi của RioDeFi là RioChain. Tất cả các ứng dụng được xây dựng trên RioChain đều cho phép phí giao dịch thấp hơn, xác nhận nhanh hơn, hiệu quả hơn và phạm vi toàn cầu hơn. Các đặc điểm của chuỗi khối này bao gồm:

  • Khả năng tương tác: RioChain là một Blockchain công khai được xây dựng trên khuôn khổ Parity Substrate và hoàn toàn tương thích với mạng POLKADOT.
  • Khả năng kết nối: RioWallet cung cấp quyền truy cập vào hệ thống thanh toán và cho phép người dùng rút tiền fiat khỏi tài khoản tiền điện tử của họ
  • Tính thanh khoản: RioDeFi kết nối các hệ thống tài chính tập trung và phi tập trung và có thể tạo điều kiện thuận lợi cho các giao dịch xuyên chuỗi.

CertiK rất vui được làm việc với đội ngũ RioDeFi để kiểm tra các vấn đề và lỗ hổng trong mã nguồn trong phạm vị hệ thống của họ. Một cuộc kiểm tra đánh giá toàn diện và một bài kiểm tra mô phỏng xâm nhập (penetration test) trên RioWallet đã được thực hiện.

Tóm lược đánh giá kiểm tra và kiểm tra mô phỏng xâm nhập

Đội ngũ RioDefi đã liên hệ CertiK để kiểm tra thiết kế và triển khai Hệ thống dựa trên Substrate. Các mô-đun được kiểm tra bao gồm:

  1. RioBridge
  2. RioAssets
  3. RioRuntime

Mục tiêu của cuộc kiểm tra này là xem xét việc triển khai RioDeFi cho mô hình kinh doanh của họ, nghiên cứu các lỗ hổng bảo mật tiềm ẩn, thiết kế và kết cấu chung, đồng thời phát hiện ra các lỗi có thể ảnh hưởng đến phần mềm trong quá trình sản xuất. Quá trình này đặc biệt chú ý đến những điểm sau:

  • Đánh giá tính bảo mật và tính hợp lý khi triển khai của Rio Runtime, Rio Assets và RioBridge
  • Đánh giá cơ sở mã để đảm bảo tuân thủ các thực tiễn hiện tại và tiêu chuẩn ngành tốt nhất.
  • Đảm bảo logic của hệ thống đáp ứng các thông số kỹ thuật và ý định của khách hàng.

Ngoài ra, CertiK đã thực hiện một thử nghiệm xâm nhập ứng dụng cho ứng dụng ví di động RioDeFi. Mục tiêu chính của thử nghiệm xâm nhập là kiểm tra khả năng phục hồi tổng thể của ứng dụng trước các cuộc tấn công trong thế giới thực chống lại các chức năng kiểm soát của ứng dụng.

Do đó, RioDeFi sẽ có thể xác định các điểm yếu và đưa ra các khuyến nghị để khắc phục và cải thiện tình trạng bảo mật.

Phát hiện và phát triển từ quá trình kiểm tra

Về quá trình kiểm tra, cơ sở mã sử dụng tốt các chi tiết cụ thể từ khuôn khổ và các phương pháp hay nhất của Rust. Đội ngũ kỹ sư của CertiK chỉ tìm thấy một số trường hợp ngoại lệ nhỏ, những ngoại lệ này đã được đội ngũ nhanh chóng khắc phục hoàn chỉnh. Các kỹ sư cho biết: “Về việc triển khai xử lý chức năng đặc quyền và thiết kế an toàn xung quanh khuôn khổ với tham số hóa thích hợp, cơ sở mã cho thấy sự liên quan giữa các thông số kỹ thuật của khuôn khổ và phù hợp với chức năng dự liệu dưới dạng mô-đun”.

Về việc kiểm tra xâm nhập, CertiK đã cho kiểm tra ứng dụng chống lại các lỗ hổng di động khác nhau bao gồm OWASP Top Ten. Phương pháp tiếp cận kiểm tra kiểu hộp trắng đã được thực hiện trong đó CertiK thực hiện kiểm tra trong mã nguồn có sẵn từ kho lưu trữ được chia sẻ bởi Github. Việc RioDeFi chủ động thực hiện các thử nghiệm này cho thấy sự đánh giá cao và giá trị của họ đối với việc bảo mật.

Đề xuất kiểm tra bảo mật

Ngoài ra, về phần chức năng, đội ngũ CertiK khuyến nghị cải thiện tài liệu của cơ sở mã. Mặc dù một số phần được ghi chép đầy đủ, nhưng những phần khác lại thiếu tài liệu thích hợp. Ngoài ra, tất cả các tài liệu liên quan đến dự án, tệp readme, các bình luận, các trang trắng, trang vàng phải có phiên bản tiếng Anh. Với kinh nghiệm làm việc với đội ngũ RioDeFi, CertiK tin tưởng rằng tài liệu sẽ được cập nhật đầy đủ trước khi phát hành mainnet.

CertiK khuyên tất cả các dự án phải trải qua quá trình kiểm tra đơn vị nghiêm ngặt trên cơ sở mã hoàn chỉnh để đảm bảo rằng bảng chức năng và các kết quả dự kiến đáp ứng được mọi trường hợp trước khi đánh giá. Kiểm tra đơn vị nghiêm ngặt sẽ đảm bảo rằng mã (code) có chất lượng cao nhất và sẽ làm cho tất cả các cuộc kiểm tra có giá trị hơn.

Về CertiK

CertiK là một công ty bảo mật blockchain dẫn đầu về công nghệ được thành lập bởi các giáo sư Khoa học Máy tính từ Đại học Yale và Đại học Columbia được xây dựng để chứng minh tính bảo mật và tính đúng đắn của các hợp đồng thông minh và giao thức blockchain.

Nhiệm vụ của CertiK trong mỗi cuộc kiểm tra đó là áp dụng các phương pháp tiếp cận và phương pháp phát hiện khác nhau, từ phân tích thủ công, tĩnh và động để đảm bảo rằng dự án được kiểm tra chống lại các cuộc tấn công đã biết và các lỗ hổng tiềm ẩn. CertiK có một đội ngũ kỹ sư và kiểm toán viên bảo mật dày dạn kinh nghiệm áp dụng các phương pháp thử nghiệm và xác minh vào dự án, từ đó tạo ra một hệ thống phần mềm an toàn và mạnh mẽ hơn.

CertiK đã phục vụ hơn 100 khách hàng với các dịch vụ kiểm toán và tư vấn chất lượng cao, từ các loại tiền ổn định như BGBP của Binance và Paxos Gold đến các công cụ phi tập trung như Band Protocol và Tellor.

Hãy giữ liên lạc!

Hãy nhớ theo dõi chúng tôi trên các nền tảng bên dưới để luôn cập nhật những thông tin và cập nhật mới nhất của chúng tôi.

Website: https://certik.io

Twitter: https://twitter.com/certik_io

Linkedin: https://www.linkedin.com/company/certik/

GitHub: https://github.com/CertiKProject

Để được tư vấn MIỄN PHÍ, hãy gửi email cho chúng tôi tới bd@certik.io


Nguồn: CertiK

Biên dịch bởi VIC News
0 Bình luận

Related Posts

Để lại bình luận