Fira 在上线前后均经历了严格的安全审查流程。本文详细介绍协议安全体系的组成部分:审计、漏洞赏金和运营控制。
外部审计——4 家机构,6 次审计
2025 年 11 月至 2026 年 3 月间,Fira 的智能合约被四家安全机构独立审查了六次。
机构 | 审计名称 | 日期 | 类型 |
Sherlock | Fira UZR Audit Nov25 | 2025 年 11 月 | 竞争性(独立研究员社区) |
Spearbit / Cantina | Cantina code – Fira UZR Audit Nov25 | 2025 年 11 月 | 重点安全审查 |
yAudit | Fira UZR Audit Dec 25 | 2025 年 12 月 | 独立 |
Hexens | Fira protocol audit(s) | 2025–2026 年 | 独立 |
所有机构均审查了 Fira 核心合约:UZR 借贷保险库、利率模型、预言机适配器及支撑基础设施。
每家机构采用不同方法:
Sherlock 运行竞争性审计,独立研究员社区同时审查同一代码库,扩大了攻击面的覆盖范围
Spearbit/Cantina 由资深安全研究员进行深入重点审查
yAudit 和 Hexens 提供独立视角,尤其针对边界情况、数学精度和跨合约交互
审计报告可在 docs.fira.money 公开获取。
内部审查——Usual Labs 约一个月
除外部审计外,Usual Labs 工程团队还进行了约一个月的内部审查,涵盖:
代码质量和实现正确性
部署配置和参数设置
访问控制结构
运营安全程序
内部审查通过对协议预期设计和行为的深度领域知识,对外部审计形成补充。
漏洞赏金——通过 Sherlock 最高 $500,000
Fira 通过 Sherlock 平台运营持续的漏洞赏金计划。奖励按严重程度分级:
严重(Critical) — 最高 $500,000(有效严重发现的最低赔付为 $50,000)。严重定义为可导致确定性、重大资金损失或系统性不可逆资金锁定的漏洞。
高(High) — 酌情决定,取决于影响
中(Medium) — 酌情决定,取决于影响
该漏洞赏金计划涵盖部署在 Ethereum Mainnet 上的 Fira UZR 合约。这是 Fira 自身的基础设施计划——与覆盖 USD0、bUSD0 和 USUAL 代币生态的 Usual Protocol 漏洞赏金计划相互独立。
提交漏洞:请使用官方 Sherlock 平台并遵循计划规则。所有提交均经 Sherlock 分类审核;Sherlock 就严重程度和赔付金额作出最终裁定。
运营控制
合约暂停能力 — 若检测到严重漏洞或疑似漏洞被利用,Fira 可暂停关键协议功能。团队在严重性评估中假设 1 小时响应窗口。
多签钱包治理 — 关键协议操作需要多个授权签名人批准。没有任何单一密钥能够单方面转移协议资金或修改核心参数。
受监控的部署 — 合约地址已在 Etherscan 上公开验证,与经过审计的代码一致。
审计的局限性
审计降低了未发现漏洞存在的概率,但无法完全消除这一可能性。
没有任何审计能够测试与真实市场条件和外部协议交互的链上系统的所有可能状态。一个漏洞可能在多次审计中仍未被检测到。漏洞赏金计划的设立,正是为了持续激励发现审计遗漏的问题。
如果您正在评估 Fira 的安全性:请阅读审计报告,了解审查范围,并根据自身判断决定投入多少资金。
相关文章