Стивен Тонг, ко-основач на фирмата за безбедност на блокчејн Zellic, пронајде грешки во најпопуларниот паметен договор досега
содржина
Во своето Потврда на формат на завиткан ETH (WETH) Истражувањето, Стивен Тонг потврди два параметри клучни за токеномскиот дизајн на Wrapped Ether, токен ERC-20 што го отсликува етерот (ETH) во апликациите DeFi.
Аналитичарот ја провери точноста на вкупната понуда на WETH и неговата солвентност: Резултати
Денес, на 19 ноември 2022 година, Тонг објави преглед за две карактеристики на Wrapped Ethereum (WETH), паметен договор на мрежата Ethereum (ETH) дизајниран да ја рационализира употребата на ETH во DeFi со „завиткување“ во обичен ERC- 20 средства.
Грешка во WETH:
Завитканиот ЕТХ е паметен договор што е направен во над 125 МИЛИОНИ трансакции на Ethereum. Оваа година, 11.5% од сите трансакции користеле Wrapped ETH.
Но, дали е безбедно? Официјално потврдив две критични безбедносни својства со SMT решавач, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) Ноември 19, 2022
Тој ги искористи инструментите со ограничена рог клаузула (CHC) за да ги моделира сите можни состојби на завиткан етерум (ETH). Потоа, тој провери дали метриката „вкупна понуда“ на паметниот договор WETH всушност е еднаква на бројот на исковани токени.
Тој, исто така, се обиде да потврди дали е можно да се откупи ETH од WETH во секое време; Тонг ја нарече оваа функција „солвентност“.
Во однос на првата точка, аналитичарот откри дека вкупната понуда не е нужно еднаква на количината на токени што постојат:
Технички гледано, стандардот ERC-20 специфицира дека totalSupply() треба да биде еднаков на…“вкупната понуда“. Што е малку нејасно, но некој би претпоставил дека тоа би биле вкупните токени што постојат
Преку функцијата за самоуништување, која го раскинува договорот или префрла на какви било средства на договор на одредена адреса, корисниците ќе можат да коваат WETH токени без всушност да испраќаат ETH за завиткување, заклучи Тонг.
Дали е ова навистина опасно за корисниците на WETH?
Тој, исто така, покажа дека депонентот на Ethers (ETH) нема нужно да може да ги повлече своите средства од паметните договори во секое време.
Незаситено! Тоа е резултатот што сакаме да го видиме! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) Ноември 19, 2022
Како таков, тој обезбеди два хипотетички модели за да го покаже отсуството на корелација помеѓу билансот на договорот WETH и вистинскиот број на ковани токени, како и „пропустот на солвентноста“ што може да влијае на процесот на повлекување.
Сепак, тој нагласи дека и двете ситуации се хипотетички и моделирани само за експериментот. Грешките во истражувањето се „мали“ и „безопасни“.
Од неговото лансирање во 2020 година, Zellic изврши ревизија на голем број протоколи DeFi од највисокото ниво, вклучувајќи ги и оние како 1inch (1INCH), LayerZero и SushiSwap (SUSHI).
Извор: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst