在DeFi应用程序FeiProtocol的联合创始人JoeySantoro的领导下,最近提出了一个EIP,用于为代币化保险库创建新的代币标准。它是EIP-4626。
尽管它刚刚在2021年12月提出,但很快就获得了以太坊社区的极大关注和大力支持,并据报道已被包括TribeDAO和RariCapitalDAO在内的一些DAO采用。
该EIP旨在解决代币化保险库现有实现中的一个痛点,即“代币化保险库缺乏标准化,导致实现细节多样化”。这个痛点使得标记化保险库的集成“在聚合器或插件层对于需要符合许多标准的协议很困难,并迫使每个协议实现自己的适配器,这些适配器容易出错并浪费开发资源”。
该EIP基于ERC-20,这是以太坊DeFi应用程序中广泛采用的标准,存在相当大的安全问题或风险,需要智能合约开发人员了解。
Rug Radio与NFT铸造平台Fair.xyz合作推出全新激励计划“Stubs”,3月拟推“听众证明”节目:金色财经报道,据Fair.xyz在社交媒体宣布,该NFT铸造平台已和Rug Radio达成合作拟向社区推出名为“Stubs”的全新奖励计划,目标是在 Rug Radio 生态系统中提供“能让听众获得 NFT 奖励的创新方式”。此外,Rug Radio 还宣布新的“听众证明”节目将于下个月在“GM Web3”中首次亮相,为 Rug Radio 的活跃听众提供福利,每场 GM Web3 节目期间,主持人都会发布“Stubs Mint 通行证的限量供应”,节目听众可以通过输入代码来领取,这些通行证只能由 Rug Radio 和 Degenz Access Pass持有人领取,通行证持有人随后可以选择烧毁以换取 Stubs 艺术品。[2023/2/21 12:19:09]
作为一家区块链安全公司,Fairyproof的研究团队对ERC-20实施的问题或风险是否也可能引入ERC-4626非常感兴趣。我们研究了这个EIP,探索了可能的安全检查点,并想分享一些关于这些检查点的想法。
Ethereum Fair(ETF)发布v1.0.0版本节点罗马分叉:9月14日消息,据Ethereum Fair官方推特发布,ETF技术社区发布v1.0.0罗马分叉版本。该版本内容包含分叉难度为58,750,000,000,000,000,000,000,锁定0x00000000219ab540356cbb839cbe05303d7705fa地址里的所有代币分配给BTC,DOGE,ETC,CZZ的持币者,分叉后的难度调整为100G,还是原来的挖矿算法,正式分叉后的ChainId为513100。[2022/9/14 6:56:18]
此EIP要求代币化保险库必须实现ERC-20来表示股份,并添加新接口以将股份转换为代币或将代币转换为可查看函数和传输函数中的股份。而这些新增的功能引入了需要我们注意的安全注意事项。
以太坊PoW分叉Ethereum Fair与跨链项目SWFT Blockchain达成合作:8月7日消息,Ethereum Fair宣布与跨链项目SWFT Blockchain达成合作,Ethereum Fair是由ClassZZ技术社区发起的以太坊PoW分叉,将在以太坊过渡至PoS后保留原有的PoW链。SWFT Blockchain将支持Ethereum Fair生态系统发展。[2022/8/7 12:07:59]
以下是基于此EIP实施标记化保管库时的安全注意事项列表:
恶意功能的实施
考虑一个符合此EIP定义的接口但不符合规范的保险库实现。这种情况经常发生在使用代理机制的rug-pulls中,并且代理接口似乎符合令牌标准,但实际上,真正的实现是恶意合约。
Fairyproof风险提示:BSC上SQUID GAME项目疑似出现跑路或被攻击:11月1日消息,Fairyproof发布风险提示,与热门韩剧《鱿鱼游戏》同名的BSC上项目SQUID疑似出现跑路或被攻击,损失金额预估1200万USDT。
据Fairyproof监测系统显示:目前项目方官网已无法打开;
当前Pancake质押池中所有的代币已经通过两次交易被全部提出转移到地址:0x71D934Aa2119CA3995F702f075d540f7A6b0f728。
其中一笔的交易在BSC上的哈希值为:0xf7c9d0e5a81999f9e06fe78df7ce41da112d8bd4f2da7b16cfdbbe46c92cb6af 。
发起提取代币交易的地址为0x614826D885FF973324a5C3f43369d7C413a88aea。
此外来自地址0x1f5eabba9c56bca4a7828969b79bc87051125b31的交易者通过大量出售SQUID代币将Pancake中交易对中的BNB转移至:
0x71D934Aa2119CA3995F702f075d540f7A6b0f728。上述交易所需的初始Gas源头都来自混币应用Tornado.Cash。
Fairyproof提醒投资者警惕参与风险。[2021/11/1 21:16:03]
因此,审计人员或用户需要在采取进一步行动之前仔细检查其实际实施情况。
Punk Protocol发布补偿计划和后续规划 追回的资金将在24小时内分发给Fair Launch参与者:Punk Protocol发布补偿计划和后续规划公告,从白帽黑客那里追回的资金,将在此公告发布后24小时内按比例立即分发给Fair Launch参与者。在退款55%后,下一个主要问题是如何收回400万美元的剩余价值。下一个优先事项是规范协议并重新启动,以确保协议的长期生存并恢复其可靠性。Punk Protocol优先偿还未归还的资金4041504美元,将授予peUSD,一种用于全额偿还丢失代币的担保代币。peUSD持有者将能够从“Recovery Fund”以1:1的比例交换DAI。对于剩余的恢复,将通过一个NFT项目:Drop活动最初计划于8月31日举行,以表达对用户的感谢,已经调整了NFT项目,并将作为一个营利性项目进行补偿。以受损资金总额计算,待奖励的Punk Token总数约为202,075.2。最初为Fair Launch计划的奖励因攻击而停止,包括210,000代币。官方将按比例分配这些代币。此前消息,Punk Protocol在公平启动期间遭遇攻击,损失约400万美元。[2021/8/13 1:53:02]
支持EOA账户
EIP指出“如果实施者打算直接支持EOA账户访问,他们应该考虑添加额外的存款/铸币/提款/赎回函数调用,以适应滑点损失或意外的存款/提款限制”。
除了滑点损失和意外的存款/取款限制外,还有另一种常见的情况:代币在转账时被烧毁。一些DeFi应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。
我们建议ERC-4626保险库不允许将此类代币存入保险库。
使用接口作为预言机
EIP声明“预览方法返回的值尽可能接近精确。出于这个原因,它们可以通过改变链上条件来操纵,并且并不总是可以安全地用作价格预言机。”?,并且“将转换方法实施为使用时间加权平均价格在资产和股票之间转换是正确的。”?
加密空间中预言机最流行的用例是使用它们来获取代币的价格,但智能合约需要的任何信息都可能依赖于预言机。因此,返回信息的预览方法也可以用作预言机。尽管这似乎没有重要的用例,但就目前而言,这个列出的潜在问题需要我们注意。减轻链上信息被操纵风险的一种流行方法是使用Uniswap引入的时间加权平均算法。
舍入问题
Vault实施者需要仔细处理计算Vault份额或代币数量以及将份额转换为资产或将资产转换为份额的接口的舍入方向。
规范建议,在计算向用户发行的股份的标的代币数量时,他/她为他/她返回的一定数量的股份提供或发送给他/她的标的代币的数量,它应该向下舍入。
在计算用户必须提供以接收特定数量的基础代币的数量或用户必须提供以接收特定数量的股份的基础代币数量时,它应该四舍五入。
在计算converTo函数中的股份数量或基础令牌时,规范要求保险库实施者向下舍入以确保所有ERC-4626保险库实施的一致性。
这些建议和要求确保始终有足够数量的底层代币用于转移。这是审计人员在审计基于此EIP的保险库实施时需要注意的事项。
-代币兼容性问题
该EIP特别提到了ERC-20代币标准。它是实现可替代代币的最广泛采用的代币标准。然而,在我们过去的审计经验中,我们也审计了一些基于替代以太坊代币标准实施的可替代代币。
这些替代代币标准与ERC-20代币兼容,但存在一些差异。
让我们以EIP-777令牌标准为例。令牌标准允许实现者使用注册表来查找接口。如果注册表有错误,任何依赖它的东西都会产生不利影响。此功能引入的一个常见问题是重入风险。
因此,可能存在两种我们需要注意的场景。
第一种情况是基于ERC-20兼容但替代标准实施的保险库。第二个是ERC-4626值,它与与ERC-20兼容但基于替代令牌标准实施的令牌交互。
在这两种情况下,替代代币标准都可能带来问题或风险。并且应仔细审查和审核基于替代标准的实施。
结束语:
在本文中,我们列出了在审核基于ERC-4626的保险库时的一些可能的安全注意事项。其中一些考虑因素已在EIP中提及,其他考虑因素是根据我们的审计经验列出的。
我们希望我们的初步建议能给实施者、用户和审计员一些关于如何安全和安全地处理ERC-4626保险库的粗略想法。
参考:
EIP-4626:代币化保险库标准,https?://eips.ethereum.org/EIPS/eip-46262021年12月22日
去中心化自治组织,https://ethereum.org/en/dao/
部落,https://docs.fei.money/governance/tribe
瑞瑞资本,http://rari.capital/
ERC-20代币标准,https://ethereum.org/en/developers/docs/standards/tokens/erc-20/
Uniswap,https://uniswap.org/
EIP-777:代币标准,https://eips.ethereum.org/EIPS/eip-777
SamreenNF,AlalfiMH.以太坊智能合约中的重入漏洞识别//2020IEEE面向区块链的软件工程国际研讨会。IEEE,2020:22-29。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。