Стивен Тонг, Zellic blockchain қауіпсіздік фирмасының негізін қалаушы, ең танымал смарт келісімшартта қателерді тапты.
Мазмұны
Оның ішінде Қапталған ETH форматын тексеру (WETH) Зерттеу барысында Стивен Тонг DeFi қолданбаларында эфирді (ETH) көрсететін ERC-20 таңбалауышы, Wrapped Ether токеномикалық дизайны үшін маңызды екі параметрді тексерді.
Сарапшы жалпы WETH ұсынысының дәлдігін және оның төлем қабілеттілігін тексерді: Нәтижелер
Бүгін, 19 жылдың 2022 қарашасында Тонг DeFi жүйесінде ETH пайдалануды қарапайым ERC-ге «орау» арқылы оңтайландыруға арналған Ethereum (ETH) желісіндегі смарт келісімшарт Wrapped Ethereum (WETH) екі ерекшелігі туралы шолуды жариялады. 20 актив.
WETH қатесі:
Wrapped ETH - бұл 125 МИЛЛИОНнан астам Ethereum транзакцияларында жасалған ақылды келісімшарт. Биылғы жылы барлық транзакциялардың 11.5% Wrapped ETH пайдаланылды.
Бірақ ол қауіпсіз бе? Мен SMT шешушісімен екі маңызды қауіпсіздік қасиетін ресми түрде растадым, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) Қараша 19, 2022
Ол Wrapped Ethereum (ETH) барлық ықтимал күйлерін модельдеу үшін Constrained Horn Clause (CHC) құралдарын пайдаланды. Содан кейін ол WETH ақылды келісімшартының «жалпы жеткізілім» көрсеткіші шығарылған токендер санына сәйкес келетінін тексерді.
Ол сондай-ақ ETH-ді WETH-тен кез келген уақытта сатып алуға болатынын тексеруге тырысты; Тонг бұл функцияны «төлем қабілеттілігі» деп атады.
Бірінші тармаққа келетін болсақ, талдаушы жалпы ұсыныс бар токендердің санына міндетті түрде тең емес екенін ашты:
Техникалық тұрғыдан алғанда, ERC-20 стандарты totalSupply() …“жалпы жеткізілімге” тең болуы керек екенін көрсетеді. Бұл біршама түсініксіз, бірақ бұл бар болған барлық белгілер болады деп болжауға болады
Келісімшартты тоқтататын немесе кез келген келісімшарттық қаражатты белгілі бір мекенжайға аударатын өзін-өзі жою функциясы арқылы пайдаланушылар WETH токендерін орау үшін ETH жібермей-ақ шығара алады, деп түйіндеді Тонг.
Бұл WETH пайдаланушылары үшін шынымен қауіпті ме?
Ол сонымен қатар Ethers (ETH) салымшысы кез келген уақытта смарт келісімшарттардан өз қаражатын міндетті түрде ала алмайтынын көрсетті.
Орынсыз! Бұл біз көргіміз келетін нәтиже! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) Қараша 19, 2022
Осылайша, ол WETH келісім-шартының балансы мен шығарылған токендердің нақты саны арасындағы корреляцияның жоқтығын, сондай-ақ қайтарып алу процесіне әсер етуі мүмкін «төлем қабілеттілігінің кемшілігін» көрсету үшін екі гипотетикалық модельді ұсынды.
Дегенмен, ол екі жағдайдың да гипотетикалық және тек эксперимент үшін үлгіленгенін баса айтты. Зерттеудегі қателер «кіші» және «зиянсыз».
2020 жылы іске қосылған сәттен бастап Zellic бірқатар жоғары деңгейлі DeFi протоколдарын, соның ішінде 1 дюймдік (1INCH), LayerZero және SushiSwap (SUSHI) сияқтыларды тексерді.
Дереккөз: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst