CertiK宣布完成对Kava的第二次代码安全审计，完整报告可查看：https://certificate.certik.org/reports/kava.pdf。

概述

近期，DeFi协议发生了一次又一次的安全事件，损失了数百万美元，因此，对内在和外在风险的安全漏洞进行审核至关重要。为此，本次审计的唯一目的是对Kava的CDP和拍卖模块的实施进行对照性能规范的审计检查。

此前在2020年3月，CertiK完成了对KavaLabs验证器Vesting模块的安全审计，审核结果证实了Kava的代码交付了一个安全的优级实施协议。

在本次对KavaCDP和拍卖模块的特别审计中，CertiK进行了一系列彻底的安全评估，目标是通过发现和修复可能导致未经授权的访问、资金损失、级联故障等已知漏洞以及其他安全漏洞，帮助KavaLabs保护用户的资金安全。在每个安全发现的同时，CertiK还会给出修复和最佳实践的建议。在六周的审计后，CertiK再次确认Kava交付的代码处于非常高的安全水平。

安全等级：非常高的置信度

关于Kava

Kava是一个使用CosmosSDK构建的跨链DeFi平台项目，为主流加密资产提供抵押贷款和稳定币。KavaLabs平台主要提供以下服务：

- 多抵押的借贷债仓：平台接受BTC、ATOM、XRP等加密资产抵押。- 自行发放贷款：用户可以完成平台操作自动获得贷款。- 创建稳定币：基于抵押资产价值铸造的与美元挂钩的稳定币，从而比现有的DeFi解决方案更快地构建和迭代。

审计范围

根据协议，审计工作严格限定在源代码的具体提交范围内，模块包括CDP模块和拍卖模块。

CDP（collateralizeddebtposition）模块允许用户用一系列加密货币进行抵押贷款，如BTC、XRP、ATOM和BNB。Kava表示，他们计划支持CDP内可用的众多白名单资产。拍卖模块实现了三种拍卖类型，用来控制CDP系统中坏账和盈余的供应。

CertiK对每个模块中的状态转换都对照其规范进行了仔细验证，甚至对测试代码进行了分析，并假定其为真，以便进行审计（对测试代码的正确性和有效性审计已经超出了本次审计的范围）。此外，CertiK还执行了Go编程的最佳实践，以提高系统总体性能，并最大限度地减少运行时异常和panic的几率。

审计方法

本次审计由CertiK经验丰富的安全工程师团队进行，利用静态和动态分析相结合的方式，评估范围内CDP和拍卖模块的功能正确性、安全性和性能。审计方法围绕着确保Kava中的安全模型以安全和功能正确的方式完成，以此来辅助区块链各模块的封装，保障应用系统免受无意的状态变化。

按照SDK中概述的模块化设计方法，CertiK检查了范围内的每一个模块，以确保：- 模块有自己的消息（或交易）处理机- SDK以最小权限的方式使用，主要用于路由消息到预定的模块。- 模块适当地聚合成一个功能应用

除了评估安全模式外，还将采用Go编程的最佳实践。这些实践包括：- 正确地模拟实施模糊测试，以避免错误的假设。- 在需知基础上确保模块相互依赖性实例化。

KavaCEO和联合创始人BrianKerr表示：“经过Kava的内部测试、多次同行评审，现在又通过了B-Harvest和CertiK的全面审核程序，我们相信Kava的代码是安全的，并能按预期工作。”

安全工程师JayJie表示：“Kava的代码库体现了高度的技术专长和开发规程。总的来说，源代码组织良好，书写干净，容纳了高质量的设计文档和代码注释。在审计过程中，我们进行了一系列的评估，重点是识别常见的与软件漏洞相关的习语和代码模式。我们很高兴地得出结论：Kava的代码库具有很高的安全态势和卓越的质量。”

关于?CertiK

CertiK是一家以技术为主导的区块链安全公司，由耶鲁大学和哥伦比亚大学的计算机科学教授创立，旨在证明智能合约和区块链协议的安全性和正确性。

CertiK每一次审计的任务是应用不同的方法和检测模式，从人工、静态和动态分析，确保发现项目的已知攻击和潜在漏洞。CertiK聘用经验丰富的工程师和安全审计师团队，在项目上应用测试方法和验证，进而创建一个更加安全和强大的软件系统。

CertiK已经为100多家客户提供了高质量的审计和咨询服务，从币安的BGBP和PaxosGold等稳定币到BandProtocol和Tellor等去中心化预言机。CertiK在应用智能合约前沿研究的同时，为其项目上的每个客户定制工程工具箱，提供高质量的交付。随着其利用区块链和智能合约的技术，CertiK团队将继续作为服务提供商和合作者支持更多项目。