Стивън Тонг, съосновател на фирмата за сигурност на блокчейн Zellic, откри грешки в най-популярния интелигентен договор досега
Съдържание
В своята Проверка на формата на опакован ETH (WETH) изследвания, Стивън Тонг провери два параметъра, които са от решаващо значение за токеномичния дизайн на Wrapped Ether, токен ERC-20, който отразява Ether (ETH) в приложения на DeFi.
Анализаторът провери точността на общото предлагане на WETH и неговата платежоспособност: Резултати
Днес, на 19 ноември 2022 г., Tong публикува преглед на две функции на Wrapped Ethereum (WETH), интелигентен договор в мрежата Ethereum (ETH), предназначен да рационализира използването на ETH в DeFi, като го „опакова“ в обикновен ERC- 20 актив.
Грешка в WETH:
Wrapped ETH е интелигентен договор, който е участвал в над 125 МИЛИОНА Ethereum транзакции. Тази година 11.5% от всички транзакции са използвали Wrapped ETH.
Но сигурно ли е? Официално проверих две критични свойства на безопасността със SMT решаващ инструмент, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) Ноември 19, 2022
Той използва инструментите на Constrained Horn Clause (CHC), за да моделира всички възможни състояния на Wrapped Ethereum (ETH). След това той провери дали показателят „общо предлагане“ на интелигентния договор WETH действително се равнява на броя изсечени токени.
Той също така се опита да провери дали е възможно да изкупи ETH от WETH по всяко време; Тонг нарече тази функция „платежоспособност“.
По отношение на първата точка, анализаторът разкри, че общото предлагане не е непременно равно на количеството съществуващи токени:
Технически погледнато, стандартът ERC-20 уточнява, че totalSupply() трябва да се равнява на... "общото предлагане". Което е малко неясно, но човек би предположил, че това са всички съществуващи токени
Чрез функцията за самоунищожаване, която прекратява договор или прехвърляне на всякакви договорни средства към определен адрес, потребителите ще могат да секат WETH токени, без всъщност да изпращат ETH за опаковане, заключи Тонг.
Това наистина ли е опасно за потребителите на WETH?
Той също така демонстрира, че вложителят на етери (ETH) не е задължително да може да изтегли средствата си от интелигентни договори по всяко време.
Ненаситен! Това е резултатът, който искаме да видим! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) Ноември 19, 2022
Като такъв, той предостави два хипотетични модела, за да демонстрира липсата на корелация между договорния баланс на WETH и действителния брой изсечени токени, както и „недостатъка в платежоспособността“, който може да повлияе на процеса на теглене.
Той обаче подчерта, че и двете ситуации са хипотетични и моделирани само за експеримента. Грешките в изследването са „незначителни“ и „безобидни“.
От стартирането си през 2020 г. Zellic одитира редица DeFi протоколи от най-високо ниво, включително подобни на 1inch (1INCH), LayerZero и SushiSwap (SUSHI).
Източник: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst