Fairyproof:在 EIP-4626 中的安全注意事项

在 DeFi 应用程序 Fei Protocol 的联合创始人 Joey Santoro 的领导下,最近提出了一个 EIP,用于为代币化保险库创建新的代币标准。它是 EIP-4626。

尽管它刚刚在 2021 年 12 月提出,但很快就获得了以太坊社区的极大关注和大力支持,并据报道已被包括 Tribe DAO 和 Rari Capital DAO 在内的一些 DAO 采用。

该 EIP 旨在解决代币化保险库现有实现中的一个痛点,即“代币化保险库缺乏标准化,导致实现细节多样化”。这个痛点使得标记化保险库的集成“在聚合器或插件层对于需要符合许多标准的协议很困难,并迫使每个协议实现自己的适配器,这些适配器容易出错并浪费开发资源”。

该 EIP 基于 ERC-20,这是以太坊 DeFi 应用程序中广泛采用的标准,存在相当大的安全问题或风险,需要智能合约开发人员了解。

南非FSCA专员澄清:FAIS法案不包含矿工和NFT:10月23日消息,南非金融市场行为监管局(FSCA)于10月20日在官网发布公告称,该国《2002年金融咨询和中介服务法案》(FAIS)已经更新,涵盖加密资产的定义,并将加密资产归类为金融产品。不过FCSA专员Unathi Kamlana澄清,“FCSA有意提及加密资产而非加密货币,是因为监管机构认为它们并不符合货币要求。非同质化代币(NFT)不包括在声明中,因为它们更像传统的艺术投资,但我们将继续监测NFT市场。”

此前报道,南非监管机构表示,加密货币金融公司必须在2023年获得运营牌照。(Techcabal)[2022/10/23 16:35:50]

作为一家区块链安全公司,Fairyproof 的研究团队对 ERC-20 实施的问题或风险是否也可能引入 ERC-4626 非常感兴趣。我们研究了这个 EIP,探索了可能的安全检查点,并想分享一些关于这些检查点的想法。

两名捐赠者在向暗网链接提供商dark.fail捐款后账户被冻结:据Cointelegraph报道,暗网链接提供商dark.fail管理员表示,两名比特币捐赠者在向dark.fail捐款后,账户被交易所冻结,原因是交易所实施了Chainalysis的新KYT(了解您的交易)区块链监控服务。[2021/2/10 19:24:20]

此 EIP 要求代币化保险库必须实现 ERC-20 来表示股份,并添加新接口以将股份转换为代币或将代币转换为可查看函数和传输函数中的股份。而这些新增的功能引入了需要我们注意的安全注意事项。

以下是基于此 EIP 实施标记化保管库时的安全注意事项列表:

恶意功能的实施

考虑一个符合此 EIP 定义的接口但不符合规范的保险库实现。这种情况经常发生在使用代理机制的 rug-pulls 中,并且代理接口似乎符合令牌标准,但实际上,真正的实现是恶意合约。

由Lien开发可预防抢先交易的去中心化交易所Fairswap新版本已上线:由去中心化稳定币协议LienFinance开发的去中心化交易所Fairswap新版本已上线,第一个支持的交易对为LIEN/USDC,初始的流动性为30万美元。官方同时也在Uniswap中为LIEN/ETH提供了流动性,约10万美元。FairSwap是一个为了预防抢先交易(Frontrunning)而设计的去中心化交易协议,而交易机制受Uniswap启发,采用自动交易商(AMM)模式。[2020/11/7 11:57:19]

因此,审计人员或用户需要在采取进一步行动之前仔细检查其实际实施情况。

支持 EOA 账户

EIP 指出“如果实施者打算直接支持 EOA 账户访问,他们应该考虑添加额外的存款/铸币/提款/赎回函数调用,以适应滑点损失或意外的存款/提款限制”。

声音 | Beosin预警:Mercatox交易所再次遭hard_fail攻击:成都链安态势感知系统Beosin Eagle Eye检测到,今日晚上7点左右攻击mercatox交易所的黑客于晚上10:23时再次对该交易所发起(hard_fail)攻击,并获利500多EOS。成都链安提醒各大交易所,近日来不断有黑客尝试用(hard_fail)攻击手法来试探各大交易所,各大交易所需做好防护措施。[2019/3/15]

除了滑点损失和意外的存款/取款限制外,还有另一种常见的情况:代币在转账时被烧毁。一些 DeFi 应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。

我们建议 ERC-4626 保险库不允许将此类代币存入保险库。

使用接口作为预言机

EIP 声明“预览方法返回的值尽可能接近精确。出于这个原因,它们可以通过改变链上条件来操纵,并且并不总是可以安全地用作价格预言机。”?,并且“将转换方法实施为使用时间加权平均价格在资产和股票之间转换是正确的。”?

Fair.Game团队将在二级市场回购2000万枚FAIR:据Fair.Game官网公告称,鉴于近期的市场形势,Fair.Game团队决定推出一轮二级市场回购。团队将在未来3个月期间(2月15日至5月15日),从OKEx和big.one回购2000万枚FAIR。回购后,这笔专项资金将用于市场推广或回馈用户。[2018/2/7]

加密空间中预言机最流行的用例是使用它们来获取代币的价格,但智能合约需要的任何信息都可能依赖于预言机。因此,返回信息的预览方法也可以用作预言机。尽管这似乎没有重要的用例,但就目前而言,这个列出的潜在问题需要我们注意。减轻链上信息被操纵风险的一种流行方法是使用 Uniswap 引入的时间加权平均算法。

舍入问题

Vault 实施者需要仔细处理计算 Vault 份额或代币数量以及将份额转换为资产或将资产转换为份额的接口的舍入方向。

规范建议,在计算向用户发行的股份的标的代币数量时,他/她为他/她返回的一定数量的股份提供或发送给他/她的标的代币的数量,它应该向下舍入。

在计算用户必须提供以接收特定数量的基础代币的数量或用户必须提供以接收特定数量的股份的基础代币数量时,它应该四舍五入。

在计算 converTo 函数中的股份数量或基础令牌时,规范要求保险库实施者向下舍入以确保所有 ERC-4626 保险库实施的一致性。

这些建议和要求确保始终有足够数量的底层代币用于转移。这是审计人员在审计基于此 EIP 的保险库实施时需要注意的事项。

- 代币兼容性问题

该 EIP 特别提到了 ERC-20 代币标准。它是实现可替代代币的最广泛采用的代币标准。然而,在我们过去的审计经验中,我们也审计了一些基于替代以太坊代币标准(如 EIP-777)实施的可替代代币。

这些替代代币标准与 ERC-20 代币兼容,但存在一些差异。

让我们以 EIP-777 令牌标准为例。令牌标准允许实现者使用注册表来查找接口。如果注册表有错误,任何依赖它的东西都会产生不利影响。此功能引入的一个常见问题是重入风险 。

因此,可能存在两种我们需要注意的场景。

第一种情况是基于 ERC-20 兼容但替代标准实施的保险库。第二个是 ERC-4626 值,它与与 ERC-20 兼容但基于替代令牌标准实施的令牌交互。

在这两种情况下,替代代币标准都可能带来问题或风险。并且应仔细审查和审核基于替代标准的实施。

结束语:

在本文中,我们列出了在审核基于 ERC-4626 的保险库时的一些可能的安全注意事项。其中一些考虑因素已在 EIP 中提及,其他考虑因素是根据我们的审计经验列出的。

我们希望我们的初步建议能给实施者、用户和审计员一些关于如何安全和安全地处理 ERC-4626 保险库的粗略想法。

参考:

EIP-4626:代币化保险库标准,https?://eips.ethereum.org/EIPS/eip-4626 2021 年 12 月 22 日

去中心化自治组织,https://ethereum.org/en/dao/

部落,https://docs.fei.money/governance/tribe

瑞瑞资本,http: //rari.capital/

ERC-20 代币标准,https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Uniswap,https: //uniswap.org/

EIP-777:代币标准,https ://eips.ethereum.org/EIPS/eip-777

Samreen NF, Alalfi M H. 以太坊智能合约中的重入漏洞识别[C]//2020 IEEE 面向区块链的软件工程国际研讨会(IWBOSE)。IEEE,2020:22-29。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

加密货币细数 DeFi 史上最大的 13 次黑客攻击事件

有很多资金流入了 DeFi。但由于黑客攻击和漏洞利用,有时也会有大量资金流出。去中心化金融 (DeFi) 是旨在将中间商从借贷、储蓄和兑换等金融产品和服务中剔除的区块链应用程序。虽然 DeFi 有着高回报,但也伴随着很多风险.

火币下载腾讯动漫发布十年限定数字藏品

4 月 20 日,腾讯动漫十年限定数字藏品开启预约,并定于 4 月 24 日正式公开发售。这是腾讯动漫 APP 首次作为发售平台,对数字藏品领域的一次探索,也为延长 IP 价值链、拓展 IP 收藏意义提供了新思路.

[0:15ms0-1:376ms