Stephen Tong, yksi blockchain-tietoturvayhtiö Zellicin perustajista, löysi vikoja kaikkien aikojen suosituimmasta älysopimuksesta
Sisällys
Hänen Käärityn ETH-muodon tarkistus (WETH) Tutkimuksessa Stephen Tong vahvisti kaksi parametria, jotka ovat ratkaisevia Wrapped Etherin, ERC-20-tunnuksen, joka peilaa eetteriä (ETH) DeFi-sovelluksissa, tokenomisen suunnittelun kannalta.
Analyytikko tarkasti WETH:n kokonaistarjouksen tarkkuuden ja sen vakavaraisuuden: Tulokset
Tänään, 19. marraskuuta 2022, Tong julkaisi arvion Wrapped Ethereumin (WETH) kahdesta ominaisuudesta. Ethereum (ETH) -verkko on älykäs sopimus, joka on suunniteltu virtaviivaistamaan ETH:n käyttöä DeFissä "kääremällä" se tavalliseksi ERC- 20 omaisuutta.
Virhe WETH:ssä:
Wrapped ETH on älykäs sopimus, joka on ollut yli 125 MILJOONAA Ethereum-tapahtumaa. Tänä vuonna 11.5 % kaikista tapahtumista käytti Wrapped ETH:ta.
Mutta onko se turvallista? Varmistin virallisesti kaksi kriittistä turvallisuusominaisuutta SMT-ratkaisijalla, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg- cts (@gf_256) Marraskuussa 19, 2022
Hän hyödynsi Constrained Horn Clause (CHC) -instrumentteja mallintaakseen kaikkia mahdollisia Wrapped Ethereumin (ETH) tiloja. Sitten hän tarkisti, vastaako WETH-älysopimuksen "kokonaistarjonta" todellisuudessa lyötyjen rahakkeiden lukumäärää.
Hän yritti myös varmistaa, oliko mahdollista lunastaa ETH WETH:stä milloin tahansa; Tong kutsui tätä funktiota "vakavaraisuudeksi".
Mitä tulee ensimmäiseen kohtaan, analyytikko paljasti, että kokonaistarjonta ei välttämättä ole yhtä suuri kuin olemassa olevien rahakkeiden määrä:
Teknisesti ottaen ERC-20-standardi määrittelee, että totalSupply():n tulee olla yhtä suuri kuin…”kokonaistarjonta”. Mikä on melko epämääräistä, mutta voisi olettaa, että se olisi olemassa olevien tokenien kokonaismäärä
Itsetuhotoiminnon avulla, joka päättää sopimuksen tai siirtää sopimuksen varat tiettyyn osoitteeseen, käyttäjät voisivat lyödä WETH-tokeneita lähettämättä itse ETH:ta käärittäväksi, Tong päätti.
Onko tämä todella vaarallista WETH-käyttäjille?
Hän osoitti myös, että Ethersin (ETH) tallettaja ei välttämättä pysty nostamaan varojaan älykkäistä sopimuksista milloin tahansa.
Unsat! Se on tulos, jonka haluamme nähdä! pic.twitter.com/ls7bhPakY1
- cts (@gf_256) Marraskuussa 19, 2022
Sellaisenaan hän esitti kaksi hypoteettista mallia osoittaakseen korrelaation puuttumisen WETH-sopimussaldon ja lyötyjen rahakkeiden todellisen määrän välillä sekä "vakavaraisuusvirheen", joka voisi vaikuttaa nostoprosessiin.
Hän kuitenkin korosti, että molemmat tilanteet ovat hypoteettisia ja mallinnettuja vain kokeilua varten. Tutkimuksen virheet ovat "vähäisiä" ja "vaarattomia".
Vuoden 2020 julkaisunsa jälkeen Zellic on auditoinut useita huipputason DeFi-protokollia, mukaan lukien 1 tuuman (1 tuuman), LayerZeron ja SushiSwapin (SUSHI) kaltaiset.
Lähde: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst