Uniswap：不支持以太坊分叉！提醒合并后重大安全风险

全文导读

以太坊自动化做市(AMM)兑币协议Uniswap公告，没有计划支持任何以太坊分岔，PoS以太坊的过渡是重要奠基。Uniswap用户无需在合并时进行任何操作，协议将正常运行。

公众号：币圈小七

?以太坊自动化做市(AMM)兑币协议Uniswap公告，没有计划支持任何以太坊分岔，PoS以太坊的过渡是重要奠基。Uniswap用户无需在合并时进行任何操作，协议将正常运行。但若第三方基础建设供应商出现提机，部分用户可能出现短暂无法使用的状况。

数据：过去7天Uniswap上交易费用超过以太坊网络转账费用:6月24日消息，据彭博社援引数据追踪机构Crypto Fees的数据，过去7天，Uniswap上产生的日平均交易费用为410万美元，超过了以太坊网络的日平均转账费用390万美元。而在2022年1月1日，以太坊的日转账费用是Uniswap的近10倍。

加密资产管理公司Arca的研究主管Katie Talati表示，近期市场波动性加剧，以及Uniswap在Layer2和Polygon上交易量的大幅增加，导致了Uniswap的交易费用超过了以太坊转账费用。[2022/6/24 1:29:28]

更重要的事，Uniswap提醒用户在合并后可能会有的风险。

黑客利用重入漏洞攻击Paraluni，获利逾170万美元，约1/3已流入Tornado:今日8时04分（HKT），BSC链上的元宇宙金融项目Paraluni遭受黑客攻击，黑客获利逾170万美元。据欧科云链链上天眼初步分析：

1、攻击者资金来自PancakeSwap的闪电贷；

2、问题出在项目方MasterCheif合约的depositByAddLiquidity方法，该方法未校验代币数组参数address memory _tokens是否和pid参数指向的LP相吻合，在涉及到LP数额变化时，也未加重入锁。

目前黑客在BSC链上的地址「0x94bc」的账户余额为3000.01 BNB（约112.58万美元），另有235.45 ETH（约60.86万美元）通过cBridge跨链到了ETH网络「0x94bc」。其中约1/3被盗资金（230 ETH）已流入Tornado Cash。

该事件提醒我们，在涉及到金额变动的合约方法中，一定要关注重入漏洞，尽量使用重入锁modifier。

链上天眼团队已对相关地址进行了监控，并将进一步跟进事件进展。[2022/3/13 13:54:09]

Uniswap提醒开发者注意：预言机变化、许可重播性

Mdex.com日交易额13亿美金，超过UniSwap及Sushi总和:Mdex.com持续引领Dex行业发展，截止今日16时，Mdex.com上线挖矿6天，总锁仓量（TVL）已超10亿美金，流动性资金池（LP）总质押量突破10亿美金，24小时交易额破13亿美金，超过UniSwap及SushiSwap日交易额总和12.8亿美元。[2021/1/25 13:25:58]

Uniswapv3TWAP预言机安全性的变化

Uniswap表示，Uniswapv3预言机的设计有权衡PoW的安全性(单一实体是难以预测，以连续挖到区块的)。在PoS中，每个epoch(时间单位：6分钟)都会提先宣布谁是区块生产者。这种前瞻性显示，要操弄连续两个预言机的数值，成本会大幅低于PoW。

例如：某一区块N的验证者可以支付额外的gas，来控制区块N-1中的最后一笔交易，因为他们知道他可以控制下一个区块的交易顺序。由于预言机是基于时间权重平均值(TWAP)，这会开启一个机会，让验证者可以用极高或极低的价格来影响平均值。

Uniswap建议依赖UniswapProtocolv3TWAP预言机者，可以采用Euler团队的MedianOracle方案。

许可重播性(Replayabilityforpermits)

Permit是Approve的替代方案，用户可以允许另一个智能合约使用他们的代币；这样就可以跳过Approve的步骤来减少gas花费，Permit只让用户可以产生一个加密的链下签名并指向他们的同意就可以了。

但是，有些Permit的施作，包含DAI、USDC、UNI还有Uniswapv2LP代币，都已经写死(hardcoded)链ID了。在链分叉的情境下，新的链ID会被忽略。这会让创造一个新的重播签名路径，Permit可以让特定地址在分叉链上重播一个用户的花费行为。

举例而言，一个在以太坊上签署过permit的Uniswap路由器，可以在ETHPoW的同样地址上在施作一次。若是该Uniswap路由器没有能力在不需要任何额外交易授权之下，动用你钱包中的资金，那就不会有风险。

若是ETHPoW有个恶意合约部署至相同地址，那它可以拒绝那个在以太坊上已签署的permit，并且不需要用户的允许就能移动资金。

公众号：币圈小七

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。