ESETTANULMÁNYOK · fintech

DeFi lending protokoll audit · 7 kritikus találat mainnet előtt

Name: 7 Kritikus találat (4 reentrancy edge, 2 oracle-manipulation, 1 timelock-bypass).
Item: DeFi lending protokoll audit · 7 kritikus találat mainnet előtt
Rating: 5
Author: Anonymised DeFi lending protocol (EU)

Mainnet előtti audit egy Ethereum L2-re épített lending protokollon. Invariáns + fuzz + kézi review. 7 kritikus, 12 magas, 28 közepes súlyú találat · mind javítva az első tranzakció előtt.

Időkeret3 weeks

← Vissza az esettanulmányokhoz

Dezső MezőFounder

Szakmai ellenőrzés2026. március 18.

017 Kritikus találat (4 reentrancy edge, 2 oracle-manipulation, 1 timelock-bypass).

0212 Magas · access control, precision-loss, event-log hézagok.

0328 Közepes · gas-optimalizáció, NatSpec hiányok, edge viselkedés.

04Minden Kritikus + Magas javítva mainnet előtt; re-audit tisztán futott.

A probléma01 / 03

01A csapat végigvitt egy belső review-t, de független pre-auditot akart a fizetős audit cég előtt.
02Agresszív mainnet-határidő (6 hét) · nem blokkolhattuk, de el kellett kapni a nyilvánvaló hibákat.
03A protokoll 3 külső price oracle-lel integrált · nagy oracle-manipulation támadási felület.
04Upgradeable proxy pattern 48h timelock-kal · a timelock konfig fele el volt rontva.

A megoldás02 / 03

01Threat model az első napon (a sablon most az /resources/smart-contract-threat-model-template.md-ben).
02Foundry invariáns-tesztek · 34 invariáns, fejenként 200k futás, ~3 óra összesen.
03Halmos szimbolikus végrehajtás a core accounting függvényeken (accrueInterest, repay, liquidate).
04Echidna property-based fuzzing az oracle wrapperen 72 órán át.
052800 sor Solidity kézi review · 11 kontrakt, 3 senior reviewer, 2 hét.

Az eredmény03 / 03

017 Kritikus találat (4 reentrancy edge, 2 oracle-manipulation, 1 timelock-bypass).
0212 Magas · access control, precision-loss, event-log hézagok.
0328 Közepes · gas-optimalizáció, NatSpec hiányok, edge viselkedés.
04Minden Kritikus + Magas javítva mainnet előtt; re-audit tisztán futott.
05Post-deploy monitor mátrix élesben · TVL-delta, oracle-staleness, admin-call alertek.

ESETTANULMÁNYOK

Kezdjünk bele.

Írj egy e-mailt vagy foglalj egy 30 perces hívást.

Vissza az esettanulmányokhoz