跳转到主要内容

审计与安全

Usual 对安全高度重视——它必须如此,因为它持有数亿美元的用户余额。本文列出审计机构、漏洞赏金计划以及所有落地的安全实践。

审计机构

Usual 自上线以来已被以下机构审计超过 20 次

机构

聚焦

审计类型

Cantina

智能合约

全面审查、漏洞赏金托管方

Sherlock

智能合约

审计与竞赛,同时也是 Fira 漏洞赏金的托管方

Spearbit

智能合约

同行评审的审计

Halborn

智能合约

安全评估

Hexens

智能合约

全面审查

Paladin

智能合约

审计与评审

Blackthorne

智能合约

审计与评审

Trail of Bits

Spiko 智能合约

对 Spiko(EUTBL/USTBL 提供方)的第三方审计

PwC

Spiko 财务报表

对 Spiko 的第三方财务审计

每次审计都有特定范围(新产品发布、功能升级或特定组件)。报告发布在 docs.usual.money

漏洞赏金——通过 Cantina 提供 $7.5M

Usual 在 Cantina 上运行公开漏洞赏金计划,对关键漏洞提供高达 $750 万的奖励。这是 DeFi 中最大的漏洞赏金之一。

范围: 核心智能合约(USD0、EUR0、ETH0、bUSD0、USUAL、USUALx、DaoCollateral、SwapperEngine、Distribution 及相关基础设施)。

如何参与:

  1. 在 Cantina 上注册为安全研究员

  2. 在漏洞赏金页面查看范围和规则

  3. 通过 Cantina 平台进行负责任的披露

  4. 根据严重程度获得奖励(关键漏洞最高 $7.5M,高级漏洞则为较低金额)

重要: $7.5M 的漏洞赏金是 Usual Protocol 的赏金。Fira(Usual Credit 内部的固定利率信贷平台)有独立的 $500K 漏洞赏金,由 Sherlock 托管。请勿混淆。

分层安全实践

除了审计和漏洞赏金,Usual 还应用额外的安全实践:

1. 紧急暂停机制

关键合约可在发现漏洞时由紧急多签暂停。暂停会停止新存款和操作,但不会冻结现有余额,为调查和协调响应争取时间。

2. 升级透明度

任何改变协议行为的合约升级都必须通过 UIP 投票。这防止单方面变更,并确保社区对任何修改具有可见性。

3. 开源

所有 Usual 合约都是开源的。任何人都可以审查代码、提出改进或找到漏洞。透明度是最佳的长期防御。

4. 发布前审计

新合约和功能在部署前被审计。审计流程包括问题解决、重审循环以及通过治理论坛进行的社区审查。

5. 持续监控

链上监控工具实时跟踪合约健康状况、异常活动和异常值。Usual Labs 负责这类监控并响应告警。

6. 事件响应程序

事件发生时,响应遵循标准模式:

  1. 检测(通过监控、赏金或用户报告)

  2. 紧急暂停(如需要)

  3. 调查与分析

  4. 通过 Discord、X 和博客进行公开沟通

  5. 协调修复

  6. 公开事后回顾

过去的事件与响应

迄今最重要的事件是 2025 年 1 月的 bUSD0 下限调整事件。它不是智能合约被攻击,而是一次治理参数变更导致的短暂市场波动。响应包括:

  • 通过所有渠道的透明沟通

  • 治理主导的下限价格调整

  • 发布详细说明原因与修复的公开事后回顾

完整事件档案在 gov.usual.money 的治理论坛。

如何验证审计报告

  • 在 Usual 文档中——docs.usual.money 有一个安全页面,链接所有报告

  • 在审计机构的网站上——每家机构独立发布自己的报告

  • 在链上——合约源代码可在 Etherscan 和其他区块浏览器上验证

安全不能覆盖什么

即使是最佳的安全实践也无法覆盖:

  • 用户错误(丢失私钥、钓鱼、错误地址)

  • Usual 范围外的第三方失败(持有 USUAL 的 CEX 被攻破)

  • 影响协议或其提供方的监管行动

  • 超出审计和漏洞赏金覆盖范围的黑天鹅事件

你最好的保护是 Usual 的安全措施与你自己操作纪律的结合:硬件钱包、已验证的 URL、谨慎的交易审查和合适的仓位规模。

提示: 若你发现潜在漏洞,请不要利用它。通过 Cantina 漏洞赏金平台进行负责任的披露,可以获得奖励。该计划的存在正是为了鼓励披露而非利用。

技术说明(面向 DeFi 用户): 审计报告按合约和发布版本发布。紧急暂停由具有预定义法定人数的多签控制。升级路径使用具有治理控制升级权限的代理模式。Cantina 漏洞赏金在 cantina.xyz 上线。完整安全注册表请见文档

相关文章

这是否解答了您的问题?