审计报告 | DragonFlow 龙道协议

1. 审计概述

本报告由 DragonFlow 安全实验室 针对龙道生态 BSC 主网合约进行。本次审计采用静态分析、动态仿真及人工代码评审相结合的方式，旨在验证合约的逻辑正确性、资金流向安全及对 Flap 官方 Portal 协议的兼容性。

2. 核心合约信息

合约名称: FlapVault (金库)

正式网地址: 0x4D0cE58C186cE4f153FF5D11bbDF780c3A603C68

合约名称: FlapNFT (资产)

正式网地址: 0xBF112B9512698Db3394CC1A84318e3F17204f651

编译器版本: Solidity 0.8.20

优化配置: 200 Runs, Optimizer Enabled

3. 逻辑架构与资金流审计

审计确认金库合约实现了精准的“三维分账”算法：

国库分账 (30%): 实时通过 `payable` 接口支付至指定国库地址。
回购注入 (10%): 累积满 0.001 BNB 时，通过 `swapExactInput` 路径调用主网 Portal 自动执行。
持有分红 (60%): 采用“分红池 + 个人账本”双层架构，确保大并发下的结算性能。

4. 安全漏洞检查项 (Checklist)

分类	风险等级	状态	结论
重入攻击 (Reentrancy)	高	✅ 解决	遵循 Checks-Effects-Interactions 模式。
权限溢权 (Privilege Escalation)	高	✅ 解决	关键函数均受 Ownable 或 Guardian 保护。
回购路由异常 (Buyback Path)	中	✅ 解决	已适配 Portal 结构体传参及 uint256 返回值判定。
算力溢出 (Integer Overflow)	低	✅ 解决	Solidity 0.8.x 原生防御。
元数据篡改 (Metadata Security)	低	✅ 解决	BaseURI 仅管理员可调，CID 锁定 IPFS。

5. 核心代码深度审计

[FL-01] Portal 交互协议适配性 (Verified) 级别：优化

描述： 针对 Flap Portal 的 swapExactInput 接口，合约已成功实现 ExactInputParams 结构体封装调用。解决了传统 buyback 接口在联合曲线环境下可能出现的 Revert 问题。

                // 已验证的结构体调用逻辑

                IFlapPortalSwap.ExactInputParams memory params = IFlapPortalSwap.ExactInputParams({...});

                (bool ok, ) = portal.call{value: _amount}(abi.encodeCall(..., (params)));

[FL-02] 矿池闭环自动注入逻辑 (Verified) 级别：增强

描述： 合约新增了回购后自动 transfer 机制。买入的代币将不再滞留在金库，而是自动注入 NFT 矿池合约。该逻辑极大地增强了生态的通缩透明度。

6. 最终审计结论