Parallel 的安全性策略解读,如何从多维度保障平台及用户的资产安全
The following article is from Parallel Finance官方 Author Parallel Finance
对于任何一个 DeFi 协议来说,平台的安全性永远都是第一位。
Parallel 当前已有超过 22.41% 的 Polkadot Crowdloan DOT 锁定在平台上,因此团队投入了大量的精力和资金以确保用户的资产安全,让他们能够放心的使用 Parallel Finance 平台达成自己的投资目标。https://analytics.parallel.fi/overview
Parallel 自成立以来已发展超过 300,000 用户,期间对我们平台、协议或生态系统任何其他部分(包括我们的跨链)成功的攻击为 0 次。
但鉴于近期 DeFi 频频发生的安全问题,我们决定对用户进行一次详细的阐述,关于 Parallel 在确保平台及用户资产安全方面采取的一系列措施。其中有关技术方面的信息,可查看相关内容下方附带的链接。
如果你有任何此文内未涵盖的技术问题想要探讨,请通过文末的 Telegram 、Discord 或微信社群与我们联系,我们的社区经理将为你提供所需的信息。
我们的业务逻辑嵌入在基于 Rust 的智能合约中,该合约已由 Cryptocurrency 行业的顶级安全审计员多次审计。下面我们概述了这些审计师和他们审计的具体领域。
https://www.trailofbits.com/
2、Halborn
Halborn 受到 Polygon、Terra、Aave 等 Cryptocurrency 行业主要项目的信任,Halborn 也是业内最受信任的区块链和智能合约审计师之一。
https://halborn.com/
Bridge Solidity 智能合约安全审计——在2022年1月24至2月14日期间,Halborn 签约确定 Bridge Solidity 智能合约中的潜在安全问题。
Halborn 确定了 Parallel Finance 团队已经解决的一些安全风险。
DevOps CI/CD 审计- 在 2022年2月1日至2月3日期间,Halborn 签约对 Parallel Finance 的安全政策、程序、控制和实践进行审查。
Halborn 确定了 Parallel Finance 团队已经解决的安全风险。
Secfault 专注于广泛的安全服务,从渗透测试的代码审查到敏捷软件开发的安全服务,Secfault 与 Parallel Finance 签订合同以进行 3 份报告。其中,他们专注于测试我们的主要产品,如 Crowdloan 目前正在与我们合作进行审计。
https://secfault-security.com/
Slowmist 是著名的区块链安全公司,曾与多家大客户合作,包括:Huobi、Binance、OKEX、Crypto.com、1inch、PancakeSwap、TUSD 等。
https://www.slowmist.com/
区块链审计—— 2021年6月1日至6月18日,慢雾对 Parallel Finance 的区块链进行了全面的安全审计。范围包括:DeFi 逻辑安全、账户和交易模型安全、加密签名安全、代码静态检查。
SlowMist 发现了 Parallel Finance 团队已经解决的安全风险。
详细信息可在完整报告链接中找到:
https://github.com/parallel-finance/auditing-report/blob/main/Slow%20Mist%20-%20Parallel%20Security%20Audit%20Report.pdf
我们从 Polkadot/Kusama 生态系统中可以获得“共享安全性”的保障。Polkadot 的市值 >$17B,这使得攻击成本极高。Parallel 的区块链块被写入中继链内,因此我们与众多平行链一样可以共享这种安全性。
我们同时还拥有 Rust 的安全性,它提供了许多低级别的安全承诺,如内存和线程安全。由于我们的 runtime 被编译为 WebAssembly (WASM),因此 Parallel 运行自己的区块链代码的机器周围也具有强大的(牢不可破的)安全性。此外,所有内容都经过 sandboxed/partitioned,仅允许资源访问其相关的开发领域。换句话说,我们有内置的安全性。
Parallel Finance 使用区块链框架来构建我们的平行链。凭借在 Polkadot 网络上的构建,我们从 Parity 继承了 Substrate 的安全性。这是经过多次实战考验的。为了进一步降低安全风险,我们使用底层区块链框架来构建我们的平行链。Parallel 使用标准的 Substrate Pallets 来构建我们的协议,例如 Polkadot 原生的 Balances 和 Assets 模块。
👉相关技术信息可浏览我们的 Github:
https://github.com/parallel-finance/parallel/blob/master/pallets/currency-adapter/src/lib.rs
Parallel 正在与顶级开发运营工程师合作,以遵循与安全计算、密钥管理、密钥轮换等相关的所有最新最佳实践。我们利用 AWS 和 GCP 等大型云提供商来完成工作。
我们目前仅直接与 Polkadot 生态系统集成,并将使用 XMP/HRMP(内置于更大的协议中)与其他平行链进行通信。这些通信方式与整个系统具有相同的安全性。
👉相关技术信息可浏览我们的 Github:
https://github.com/parallel-finance/parallel/tree/master/scripts/helper/src/commands/hrmp
Parallel Finance 使用我们自己的本地内部定价预言机,该预言机具有多种保障措施,例如在发生极端事件时的紧急定价。
👉关于我们预言机的更多信息可以在此查看:
https://parallelfi.gitbook.io/parallel-finance/polkadot-network/developer-docs/oracle
Parallel 预言机提供的价格也会获取来自各类知名头部机构或平台,包括以下:
Binance
Bitfinex
Bittrex
Coinbase
Coincap
Kraken
Substrate 和 Polkadot 框架中的一项极具创造性的创新是 Emergency Shutdown (紧急关闭功能),这是在发生极少数极端事件(例如黑客攻击)时的最后手段。通过激励治理和 Parallel Finance 委员会的结合,我们的平行链可以暂停。
我们会监控异常行为,以便在发生黑客攻击时立即在相关时间内进行捕获。Polkadot 和 Substrate 框架的紧急关闭功能在资金仍在 Polkadot 生态系统内时效果最佳,这也包括其他平行链。一旦这些资金转移到以太坊等其他链上,恢复过程就会变得更加困难。
假设,如果由于我们的预言机问题或黑客攻击而造成短暂的下跌(损失),基金会可以通过治理系统举行拍卖出售 PARA Token,以弥补用户的部分或全部损失。
启动紧急关闭的过程可以由 Parallel Finance 启动去中心化治理。去中心化方法是由我们治理委员会 50% +1 的成员决议。例如,如果我们有 10 个理事会成员,则需要 6 个(10的50% + 1 )来触发紧急关闭过程。
如果打开紧急关闭功能将限制链上的大多数功能(例如与我们的 DeFi 产品的交互或余额转移),以便给理事会时间来部署升级以修复提示触发紧急关闭过程。关闭时,平台上的交易将无法进行。
紧急关闭功能允许对每个产品/外部进行微调控制。例如,如果某个呼叫出现错误,我们可以通过我们的治理立即激活紧急关闭功能。然后,理事会可以投票决定使用国库中的资金来偿还损失资金的用户。
与其他协议的桥接通常容易受到安全攻击。这就是为什么我们将重点放在系统、流程、监控以及一些第三方安全审计上,以使我们的 Bridge 尽可能安全。Parallel 构建 Bridges 的工程团队是由一群经验丰富、技术优秀的开发人员组成,他们来自业内一些顶级协议项目或平台。
以下是上述流程和系统的一些细节:
1、监控系统
我们有自己的监控系统,是根据我们的需求来构建的。我们每周7天、每天24小时监控我们的系统,以持续确保我们 Bridge 的安全。该系统的编程可以为我们通知许多潜在的问题,例如:
是否已超过阈值/最大转移金额(我们设置的金额)
所有交易的状态(交易失败和成功均包括)
中继器的状态,中继器是在线还是离线
中继器和 parallel/ethereum 之间的连接是否有效
2、中继器的访问控制
我们使用中继器在我们的网络和外部网络之间进行通信。通过 VPC/IAM 等 AWS 基础设施,我们对这些中继器实施了访问控制,因此只有极少数负责其开发和维护的 Parallel Finance 开发人员可以访问。Parallel 内部始终知道是谁在访问它们。
3、限价 → 总计 1,000,000 USDT/USDC
为了进一步限制黑客攻击事件的影响,我们做出的一个决定是限制可以在其相关桥梁上传输的 Cryptocurrency 的数量。例如,在我们的 Ethereum bridge 上,一旦总转账金额达到上限,我们将暂停跨链功能。当所有交易看起来都正常时,我们可以重置上限或提高上限以适用于更多跨链交易。
4、审计和测试
我们在 Halborn 的合作伙伴对 Bridge 合同和后端进行了审计。Halborn 发现的所有问题都由我们的团队解决。就像我们所有的交付和产品一样,Bridges 经历了广泛的测试和 QA 流程。此处查看我们审计的更多详情:
https://github.com/parallel-finance/auditing-report
我们为合约创建了一个“Pauser”账户,可以让我们在必要时停止合约。对于平行链,我们有一个委员会来进行紧急关闭,以减轻我们可能遭受的损害。
扫码进群了解项目最新动态
Parallel App:https://app.parallel.fi/
Discord:https://discord.gg/WX7PSz7RsP
Twitter:https://twitter.com/ParallelFi
Telegram :
https://t.me/parallelfi_cn (中文)
https://t.me/parallelfi_community(英文)
https://t.me/parallelfi
Medium:https://parallelfinance.medium.com
Github: https://github.com/parallel-finance
Parallel Finance 正在招聘,查看:
https://parallel.fi/career.html
请发送简历至:team@parallel.fi
往期回顾REVIEW