Stephen Tong, plokiahela turvafirma Zellic kaasasutaja, leidis vead kõigi aegade populaarseimast nutilepingust
Sisu
Tema Pakitud ETH vormingu kinnitamine (WETH) Stephen Tong kinnitas uuringus kaht parameetrit, mis on võtmetähtsusega Wrapped Etheri – ERC-20 märgi, mis peegeldab eetrit (ETH) DeFi rakendustes – tokenoomilise disaini jaoks.
Analüütik kontrollis WETH koguvarustuse täpsust ja selle maksevõimet: tulemused
Täna, 19. novembril 2022, avaldas Tong ülevaate Wrapped Ethereumi (WETH) kahe funktsiooni kohta. See on nutikas leping Ethereumi (ETH) võrgus, mis on loodud ETH-i kasutamise sujuvamaks muutmiseks DeFi-s, "pakkides" selle tavaliseks ERC-ks. 20 vara.
Viga rakenduses WETH:
Wrapped ETH on nutikas leping, mida on tehtud enam kui 125 MILJONIS Ethereumi tehingus. Tänavu kasutas Wrapped ETH-d 11.5% kõigist tehingutest.
Aga kas see on turvaline? Kontrollisin ametlikult kahte kriitilist ohutusomadust SMT lahendajaga Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) November 19, 2022
Ta kasutas Constrained Horn Clause (CHC) instrumente, et modelleerida kõiki võimalikke Wrapped Ethereumi (ETH) olekuid. Seejärel kontrollis ta, kas WETH nutika lepingu "kogutarne" mõõdik on tegelikult võrdne vermitud žetoonide arvuga.
Ta püüdis ka kontrollida, kas ETH-d on võimalik WETH-ist igal ajal lunastada; Tong nimetas seda funktsiooni maksevõimeks.
Seoses esimese punktiga avalikustas analüütik, et kogu pakkumine ei pruugi olla võrdne olemasolevate žetoonide arvuga:
Tehniliselt öeldes täpsustab ERC-20 standard, et totalSupply() peaks võrduma… “kogu tarnega”. Mis on üsna ebamäärane, kuid võiks eeldada, et see on kogu olemasolev žetoon
Enesehävitusfunktsiooni kaudu, mis lõpetab lepingu või kannab mis tahes lepingu raha kindlaksmääratud aadressile, saavad kasutajad vermida WETH-märke ilma ETH-d pakkimiseks tegelikult saatmata, järeldas Tong.
Kas see on tõesti WETH-i kasutajatele ohtlik?
Samuti näitas ta, et Ethersi hoiustaja (ETH) ei pruugi igal ajal oma raha nutikatest lepingutest välja võtta.
Mitterahuldav! See on tulemus, mida me näha tahame! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) November 19, 2022
Sellisena esitas ta kaks hüpoteetilist mudelit, et näidata korrelatsiooni puudumist WETH-lepingu saldo ja vermitud žetoonide tegeliku arvu vahel, samuti maksevõime puudust, mis võib mõjutada taganemisprotsessi.
Siiski rõhutas ta, et mõlemad olukorrad on hüpoteetilised ja modelleeritud ainult katse jaoks. Uuringu vead on "väikesed" ja "kahjutud".
Alates selle käivitamisest 2020. aastal on Zellic auditeerinud mitmeid tipptasemel DeFi-protokolle, sealhulgas näiteks 1-tolline (1INCH), LayerZero ja SushiSwap (SUSHI).
Allikas: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst