火星链 火星链
Ctrl+D收藏火星链

FAIR:Fairyproof:在 EIP-4626 中的安全注意事项

作者:

时间:1900/1/1 0:00:00

在DeFi应用程序FeiProtocol的联合创始人JoeySantoro的领导下,最近提出了一个EIP,用于为代币化保险库创建新的代币标准。它是EIP-4626。

尽管它刚刚在2021年12月提出,但很快就获得了以太坊社区的极大关注和大力支持,并据报道已被包括TribeDAO和RariCapitalDAO在内的一些DAO采用。

该EIP旨在解决代币化保险库现有实现中的一个痛点,即“代币化保险库缺乏标准化,导致实现细节多样化”。这个痛点使得标记化保险库的集成“在聚合器或插件层对于需要符合许多标准的协议很困难,并迫使每个协议实现自己的适配器,这些适配器容易出错并浪费开发资源”。

该EIP基于ERC-20,这是以太坊DeFi应用程序中广泛采用的标准,存在相当大的安全问题或风险,需要智能合约开发人员了解。

Ethereum Fair 宣布推出 ETF Grant 及生态激励计划:9月20日消息,目前 Ethereum Fair 官方宣布推出生态激励计划以及ETF Grant。ETF Grant 将对生态项目进行资助,通过资助优质项目实现资源的管理和利用,持续为优质项目提供全面资金和技术支持,重点资助与Ethereum Fair生态相关的开发和研究工作,Grant 计划将在 Web3 和ETF生态发展中产生长期的积极影响。[2022/9/20 7:08:43]

作为一家区块链安全公司,Fairyproof的研究团队对ERC-20实施的问题或风险是否也可能引入ERC-4626非常感兴趣。我们研究了这个EIP,探索了可能的安全检查点,并想分享一些关于这些检查点的想法。

此EIP要求代币化保险库必须实现ERC-20来表示股份,并添加新接口以将股份转换为代币或将代币转换为可查看函数和传输函数中的股份。而这些新增的功能引入了需要我们注意的安全注意事项。

以太坊PoW分叉Ethereum Fair与跨链项目SWFT Blockchain达成合作:8月7日消息,Ethereum Fair宣布与跨链项目SWFT Blockchain达成合作,Ethereum Fair是由ClassZZ技术社区发起的以太坊PoW分叉,将在以太坊过渡至PoS后保留原有的PoW链。SWFT Blockchain将支持Ethereum Fair生态系统发展。[2022/8/7 12:07:59]

以下是基于此EIP实施标记化保管库时的安全注意事项列表:

恶意功能的实施

考虑一个符合此EIP定义的接口但不符合规范的保险库实现。这种情况经常发生在使用代理机制的rug-pulls中,并且代理接口似乎符合令牌标准,但实际上,真正的实现是恶意合约。

FunFair Technologies 推出新的区块链风险投资业务:金色财经报道,FunFair Technologies区块链技术公司宣布推出 FunFair Ventures,这是一项支持早期区块链项目的新计划。FunFair Technologies 在 2021 年开始了他们的第一笔投资,即成功的 NFT 营销平台 AwardPool,他们的目标是在 2022 年为他们的投资组合增加更多。(prnewswire)[2022/2/24 10:13:44]

因此,审计人员或用户需要在采取进一步行动之前仔细检查其实际实施情况。

支持EOA账户

EIP指出“如果实施者打算直接支持EOA账户访问,他们应该考虑添加额外的存款/铸币/提款/赎回函数调用,以适应滑点损失或意外的存款/提款限制”。

由Lien开发可预防抢先交易的去中心化交易所Fairswap新版本已上线:由去中心化稳定币协议LienFinance开发的去中心化交易所Fairswap新版本已上线,第一个支持的交易对为LIEN/USDC,初始的流动性为30万美元。官方同时也在Uniswap中为LIEN/ETH提供了流动性,约10万美元。FairSwap是一个为了预防抢先交易(Frontrunning)而设计的去中心化交易协议,而交易机制受Uniswap启发,采用自动交易商(AMM)模式。[2020/11/7 11:57:19]

除了滑点损失和意外的存款/取款限制外,还有另一种常见的情况:代币在转账时被烧毁。一些DeFi应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。

我们建议ERC-4626保险库不允许将此类代币存入保险库。

动态 | FairWin跻身以太坊DApp前列,过去一周Gas消耗占比达39.99%:据 DAppTotal 09月23日数据显示,过去一周,综合对比ETH、EOS、TRON、IOST四大公链的DApp生态情况发现:总用户量(个): ETH(292,271) > EOS(189,107) > TRON(59,034) > IOST(20,088);总交易次数(笔):EOS(34,957,643) > TRON(4,880,517) > IOST(2,837,113) > ETH(1,145,116);总交易额(美元):ETH(59,946,310) > EOS(57,343,801) > TRON(38,180,672) > IOST(9,317,979);跨四条公链按用户量TOP3 DApps为:Hash Baby(EOS)、Dice(EOS)、Endless Game(EOS);按交易次数TOP3 DApps分别为:Hash Baby(EOS)、Dice(EOS)、Gako Binary Option(EOS);按交易额TOP3 DApps分别为:FairWin(ETH)、NEST(ETH)、WINk(TRON)。过去一周,以太坊现象级DApp FairWin交易额排名跻身第一位,同时其消耗以太坊的Gas费占比达到了39.99%,造成了以太坊网络的持续拥堵。[2019/9/23]

使用接口作为预言机

EIP声明“预览方法返回的值尽可能接近精确。出于这个原因,它们可以通过改变链上条件来操纵,并且并不总是可以安全地用作价格预言机。”?,并且“将转换方法实施为使用时间加权平均价格在资产和股票之间转换是正确的。”?

加密空间中预言机最流行的用例是使用它们来获取代币的价格,但智能合约需要的任何信息都可能依赖于预言机。因此,返回信息的预览方法也可以用作预言机。尽管这似乎没有重要的用例,但就目前而言,这个列出的潜在问题需要我们注意。减轻链上信息被操纵风险的一种流行方法是使用Uniswap引入的时间加权平均算法。

舍入问题

Vault实施者需要仔细处理计算Vault份额或代币数量以及将份额转换为资产或将资产转换为份额的接口的舍入方向。

规范建议,在计算向用户发行的股份的标的代币数量时,他/她为他/她返回的一定数量的股份提供或发送给他/她的标的代币的数量,它应该向下舍入。

在计算用户必须提供以接收特定数量的基础代币的数量或用户必须提供以接收特定数量的股份的基础代币数量时,它应该四舍五入。

在计算converTo函数中的股份数量或基础令牌时,规范要求保险库实施者向下舍入以确保所有ERC-4626保险库实施的一致性。

这些建议和要求确保始终有足够数量的底层代币用于转移。这是审计人员在审计基于此EIP的保险库实施时需要注意的事项。

-代币兼容性问题

该EIP特别提到了ERC-20代币标准。它是实现可替代代币的最广泛采用的代币标准。然而,在我们过去的审计经验中,我们也审计了一些基于替代以太坊代币标准实施的可替代代币。

这些替代代币标准与ERC-20代币兼容,但存在一些差异。

让我们以EIP-777令牌标准为例。令牌标准允许实现者使用注册表来查找接口。如果注册表有错误,任何依赖它的东西都会产生不利影响。此功能引入的一个常见问题是重入风险。

因此,可能存在两种我们需要注意的场景。

第一种情况是基于ERC-20兼容但替代标准实施的保险库。第二个是ERC-4626值,它与与ERC-20兼容但基于替代令牌标准实施的令牌交互。

在这两种情况下,替代代币标准都可能带来问题或风险。并且应仔细审查和审核基于替代标准的实施。

结束语:

在本文中,我们列出了在审核基于ERC-4626的保险库时的一些可能的安全注意事项。其中一些考虑因素已在EIP中提及,其他考虑因素是根据我们的审计经验列出的。

我们希望我们的初步建议能给实施者、用户和审计员一些关于如何安全和安全地处理ERC-4626保险库的粗略想法。

参考:

EIP-4626:代币化保险库标准,https?://eips.ethereum.org/EIPS/eip-46262021年12月22日

去中心化自治组织,https://ethereum.org/en/dao/

部落,https://docs.fei.money/governance/tribe

瑞瑞资本,http://rari.capital/

ERC-20代币标准,https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Uniswap,https://uniswap.org/

EIP-777:代币标准,https://eips.ethereum.org/EIPS/eip-777

SamreenNF,AlalfiMH.以太坊智能合约中的重入漏洞识别//2020IEEE面向区块链的软件工程国际研讨会。IEEE,2020:22-29。

标签:ETHFAIFAIRAIREthanolFAIRWFAIR币FAIR币归零

欧易交易所app下载热门资讯
元宇宙:晚间必读5篇 | 加密VC都在投什么?

1.Optimism将发行代币OP并公布代币经济学4月27日消息,以太坊扩容方案Optimism正式宣布将发行代币OP并公布代币经济学,代币初始总供应量为4,294,967,296个OP代币.

1900/1/1 0:00:00
BASE:NFT平台如何落实作品权利审查机制?

2022年4月20日,原告奇策公司与被告某科技公司侵害作品信息网络传播权纠纷一案依法公开审理,并当庭宣判,判决被告立即删除涉案平台上发布的“胖虎打疫苗”NFT作品.

1900/1/1 0:00:00
ORK:晚间必读5篇 | Tornado Cash 黑客的天堂?

1.金色观察|Layer1扩容:分片和可组合性以太坊和其他公链,都在尝试利用多链结构扩容,例如以太坊2.0可能实现的同构分片、波卡正在实施的异构分片、COSMOS的跨链结构.

1900/1/1 0:00:00
FTX:量化分析:一文探索不同NFT资产的价格分布

NFT类型是对NFT项目和系列进行评估的常用框架。但是,这些资产属性中较少被论及,有时甚至让人感到违反直觉的,是系列内的价格“等级”,以及同价位资产在不同系列和类型中的表现.

1900/1/1 0:00:00
808:全国首个数字人民币预付式消费平台来了 首选教培行业 看看有啥不一样?

相信你对预付式消费并不陌生,但你体验过数字人民币预付式消费吗?5月6日,北京商报记者获悉,全国首个数字人民币预付式消费平台在深圳福田落地,并首选教培行业进行试点.

1900/1/1 0:00:00
BAN:Bankless 联合创始人:EVM 等效将解锁以太坊增长的下阶段

EVM等效使L1还是L2的定义变得不那么重要,因为这一切,都「只是」以太坊。EVM等效帮助以太坊二层Rollup生态「进化」成了一个适应性强且反应迅速的层,将解锁以太坊的下一阶段.

1900/1/1 0:00:00