search

bacen / pilotord-kit-onboarding

Documentação e arquivos de configuração para participação no Piloto do Real Digital
905 stars 220 forks source link

Falta tratamento das informações referente aos contratos #41

Closed mrfelpa closed 1 year ago

mrfelpa commented 1 year ago

Pelo que se observa no código, os endereços que na prática seriam endereços reais dos contratos, estão sendo passados direto no código, o que pode acarretar em vulnerabilidade. Melhor prática seria isolar em variáveis ​​de ambiente ou outro mecanismo para armazenar esses endereços a parte, protegendo as informações.

Sem título

thiagodeev commented 1 year ago

Olá @0x5FE. No README.md que descreve o intuito dos exemplos diz:

Os participantes são livres pra desenvolverem a interação com os contratos inteligentes da forma que bem entenderem.

Esse código foi testado mas não foi feita nenhuma auditoria ou análise de vulnerabilidade. Não recomendamos o uso em produção, especialmente o uso de chaves privadas no arquivo de configuração do Hardhat.

São apenas exemplos para se conectar e testar os Smart Contracts na rede do Piloto, não sendo recomendados para produção.

mrfelpa commented 1 year ago

@thiagodeev Certo, com relação ao Drex, será disponibilizado em repositório também para análise?

thiagodeev commented 1 year ago

@0x5FE não entendi ao certo, quis dizer os códigos fontes dos contratos inteligentes usados nesse piloto do DREX? Se sim, dê uma olhada nesse comentário numa issue cuja a pergunta era também sobre os códigos fontes.

Em suma, de acordo com o BACEN, serão disponibilizados somente após o término do Piloto.

mrfelpa commented 1 year ago

@thiagodeev valeu thiago