Блокчэйн аюулгүй байдлын фирмийн үүсгэн байгуулагч Стивен Тонг хамгийн алдартай ухаалаг гэрээнд алдаа олжээ.
Агуулга
Түүний дотор Боодолтой ETH (WETH) форматын баталгаажуулалт Судалгааны явцад Стивен Тонг DeFi программ дахь эфирийг (ETH) тусгадаг ERC-20 токен болох Wrapped Ether-ийн токеномик дизайн хийхэд чухал ач холбогдолтой хоёр параметрийг баталгаажуулсан.
Шинжээч нийт WETH нийлүүлэлтийн үнэн зөв, төлбөрийн чадварыг шалгасан: Үр дүн
Өнөөдөр, 19 оны 2022-р сарын 20-нд Тонг нь DeFi дахь ETH-ийн хэрэглээг энгийн ERC-д "боож" хялбаршуулах зорилготой Ethereum (ETH) сүлжээн дэх ухаалаг гэрээ болох Wrapped Ethereum (WETH)-ийн хоёр онцлогийн тоймыг нийтэлжээ. XNUMX хөрөнгө.
WETH-д гарсан алдаа:
Wrapped ETH бол 125 САЯ гаруй Ethereum гүйлгээ хийсэн ухаалаг гэрээ юм. Энэ жил нийт гүйлгээний 11.5% нь Wrapped ETH ашигласан байна.
Гэхдээ энэ нь аюулгүй юу? Би аюулгүй байдлын хоёр чухал шинж чанарыг SMT шийдэгч Z3 ашиглан албан ёсоор баталгаажуулсан.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg- cts (@gf_256) Арваннэгдүгээр 19, 2022
Тэрээр Wrapped Ethereum (ETH)-ийн бүх боломжит төлөвийг загварчлахын тулд Constrained Horn Clause (CHC) хэрэгслийг ашигласан. Дараа нь тэрээр WETH ухаалаг гэрээний "нийт нийлүүлэлт" хэмжигдэхүүн нь үйлдвэрлэсэн жетонуудын тоотой яг тэнцэж байгаа эсэхийг шалгасан.
Тэрээр мөн ETH-ийг WETH-ээс хүссэн үедээ эргүүлэн авах боломжтой эсэхийг шалгахыг оролдсон; Тонг энэ функцийг "төлбөрийн чадвар" гэж нэрлэсэн.
Эхний цэгийн тухайд шинжээч нийт нийлүүлэлт нь одоо байгаа жетонуудын хэмжээтэй тэнцүү байх албагүй гэдгийг илчилсэн.
Техникийн хувьд ERC-20 стандарт нь totalSupply() нь..."нийт нийлүүлэлт"-тэй тэнцүү байх ёстойг заасан. Энэ нь тодорхой бус боловч энэ нь одоо байгаа нийт жетон байх болно гэж таамаглаж болно
Гэрээг цуцлах эсвэл гэрээний мөнгийг заасан хаяг руу шилжүүлэх өөрөө устгах функцээр дамжуулан хэрэглэгчид ETH-ийг боодолдоо илгээхгүйгээр WETH жетон гаргах боломжтой болно гэж Тонг дүгнэв.
Энэ нь WETH хэрэглэгчдийн хувьд үнэхээр аюултай юу?
Тэрээр мөн Ethers (ETH) хадгаламж эзэмшигч нь ухаалаг гэрээнээс мөнгөө хэзээ ч татах боломжгүй гэдгийг харуулсан.
Унтаагүй! Энэ бол бидний харахыг хүсч буй үр дүн юм! pic.twitter.com/ls7bhPakY1
- cts (@gf_256) Арваннэгдүгээр 19, 2022
Иймээс тэрээр WETH гэрээний үлдэгдэл болон үйлдвэрлэсэн жетонуудын бодит тоо хоорондын хамаарал байхгүй, мөн татан буулгах үйл явцад нөлөөлж болох "төлбөрийн чадварын алдаа" -ыг харуулах хоёр таамаглалын загварыг гаргаж өгсөн.
Гэсэн хэдий ч тэрээр энэ хоёр нөхцөл байдал нь таамаглал бөгөөд зөвхөн туршилтанд зориулагдсан гэдгийг онцлон тэмдэглэв. Судалгааны алдаанууд нь "жижиг" ба "хор хөнөөлгүй" юм.
2020 онд нээлтээ хийснээсээ хойш Зеллик нь 1inch (1INCH), LayerZero, SushiSwap (SUSHI) зэрэг хэд хэдэн дээд түвшний DeFi протоколуудад аудит хийсэн.
Эх сурвалж: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst