路印协议已完成第三方代码安全审计
为了从根本上杜绝安全漏洞与业务逻辑漏洞,路印协议与专注智能合约安全研究的安比(SECBIT)实验室签署了战略合作协议。安比(SECBIT)实验室为路印协议提供专门的智能合约安全漏洞检测工具与高级审计服务,保证数字资产的安全性与规范性,打造更健康有序的路印生态。
安比(SECBIT)实验室于北京时间2018年12月15日完成对路印协议2.0智能合约和数字货币钱包(iOS+安卓)的代码安全审计。
一、路印协议2.0智能合约(以下称LPSC )代码审计
LPSC是一组路印生态系统中的智能合约,它们被用来检查环路矿工提交的订单环路是否符合规范,以用户利益为目的进行可信结算和转账,用交易费激励环路矿工和钱包,并产生相应的以太坊事件。
本次审计主要围绕LPSC的形式化模型进行,该形式化模型基于LPSC的实现构建,通过形式化语言描述LPSC的行为,后续的人工审阅和相关性质的形式化证明都基于该形式化模型进行。
审计过程中发现了LPSC存在3处实现错误和3处可能风险,但是这些问题或者已经被修复,或者在LPSC之外已经解决,或者在实际中很难造成损失。同时,LPSC遵循了大量的最佳实践。总体而言,LPSC具备很高的质量。
二、路印协议数字货币钱包(iOS+安卓)代码审计
路印协议数字货币钱包根据标准协议规范BIP32、BIP39、BIP44实现了钱包的基本功能(创建账户、密钥管理、转账收款等),并在此基础上进行了其他功能的扩展。本次审计工作,安比(SECBIT)实验室严格按照审计流程规范执行,从数字钱包资产安全,应用常规风险和服务端应用安全风险三个维度对钱包进行全面分析。审计结果表明,路印协议数字货币钱包并未发现致命的安全漏洞。
同时,路印协议已经针对安比(SECBIT)实验室的评估在安全性上进行优化操作,主要是优化代码层级并提升用户隐私性,如添加助记词、keystore和私钥界面的禁止截图功能、提示用户密码强弱等。
经安比(SECBIT)实验室审计之后,路印协议会修复发现的逻辑漏洞、代码漏洞和存在的安全风险,提高合约的安全性和代码质量。
关于安比(SECBIT)实验室
安比(SECBIT)实验室专注于区块链与智能合约安全问题,全方位监控智能合约安全漏洞、提供专业合约安全审计服务,在智能合约安全技术上开展全方位深入研究,致力于参与共建共识、可信、有序的区块链经济体。
安比(SECBIT)实验室创始人郭宇,中国科学技术大学博士、耶鲁大学访问学者、曾任中科大副教授。专注于形式化证明与系统软件研究领域十余年,具有丰富的金融安全产品研发经验,是国内早期关注并研究比特币与区块链技术的科研人员之一。研究专长:区块链技术、形式化验证、程序语言理论、操作系统内核、计算机病毒。