Սթիվեն Թոնգը՝ բլոկչեյն անվտանգության Zellic ընկերության համահիմնադիրը, սխալներ է հայտնաբերել երբևէ ամենահայտնի խելացի պայմանագրում։
Բովանդակություն
Իր Փաթաթված ETH (WETH) ձևաչափի հաստատում Հետազոտության ընթացքում Սթիվեն Թոնգը ստուգել է երկու պարամետր, որոնք կարևոր են Wrapped Ether-ի նշանաբանական ձևավորման համար՝ ERC-20 նշան, որը արտացոլում է Եթերը (ETH) DeFi հավելվածներում:
Վերլուծաբանը ստուգել է ընդհանուր WETH մատակարարման ճշգրտությունը և դրա վճարունակությունը. արդյունքներ
Այսօր՝ 19 թվականի նոյեմբերի 2022-ին, Tong-ը հրապարակել է ակնարկ՝ Wrapped Ethereum-ի (WETH) երկու առանձնահատկությունների վերաբերյալ՝ Ethereum (ETH) ցանցի խելացի պայմանագիր, որը նախատեսված է DeFi-ում ETH-ի օգտագործումը «փաթաթելով» սովորական ERC-ի մեջ: 20 ակտիվ.
Վրիպակ WETH-ում.
Wrapped ETH-ը խելացի պայմանագիր է, որն իրականացվել է Ethereum-ի ավելի քան 125 ՄԻԼԻՈՆ գործարքների մեջ: Այս տարի բոլոր գործարքների 11.5%-ն օգտագործել է Wrapped ETH:
Բայց արդյո՞ք դա ապահով է: Ես պաշտոնապես ստուգեցի անվտանգության երկու կարևոր հատկություն SMT լուծիչով՝ Z3:👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) Նոյեմբերի 19, 2022
Նա օգտագործել է Constrained Horn Clause (CHC) գործիքները՝ Wrapped Ethereum-ի (ETH) բոլոր հնարավոր վիճակները մոդելավորելու համար: Այնուհետև նա ստուգեց, թե արդյոք WETH խելացի պայմանագրի «ընդհանուր մատակարարման» չափանիշը իրականում հավասար է հատված նշանների թվին:
Նա նաև փորձեց ստուգել, թե արդյոք հնարավոր է ցանկացած ժամանակ մարել ETH-ը WETH-ից. Թոնգն այս ֆունկցիան անվանել է «վճարունակություն»:
Ինչ վերաբերում է առաջին կետին, վերլուծաբանը բացահայտեց, որ ընդհանուր մատակարարումը պարտադիր չէ, որ հավասար լինի գոյություն ունեցող նշանների քանակին.
Տեխնիկապես ERC-20 ստանդարտը սահմանում է, որ totalSupply()-ը պետք է հավասար լինի…«ընդհանուր մատակարարմանը»: Ինչը մի փոքր անորոշ է, բայց կարելի է ենթադրել, որ դա կլինի գոյություն ունեցող ընդհանուր նշանները
Ինքնաոչնչացման գործառույթի միջոցով, որը դադարեցնում է պայմանագիրը կամ ցանկացած պայմանագրային միջոցների փոխանցում որոշակի հասցեով, օգտվողները կկարողանան հատել WETH նշանները, առանց իրականում ETH փաթաթման ուղարկելու, եզրակացրեց Թոնգը:
Արդյո՞ք սա իսկապես վտանգավոր է WETH օգտվողների համար:
Նա նաև ցույց տվեց, որ եթերների (ETH) ավանդատուները անպայման չեն կարողանա ցանկացած պահի հանել իրենց միջոցները խելացի պայմանագրերից:
Unsat! Դա այն արդյունքն է, որը մենք ուզում ենք տեսնել: pic.twitter.com/ls7bhPakY1
— cts (@gf_256) Նոյեմբերի 19, 2022
Որպես այդպիսին, նա տրամադրեց երկու հիպոթետիկ մոդել՝ ցույց տալու համար WETH պայմանագրի մնացորդի և հատված նշանների իրական քանակի միջև հարաբերակցության բացակայությունը, ինչպես նաև «վճարունակության թերությունը», որը կարող է ազդել դուրսբերման գործընթացի վրա:
Այնուամենայնիվ, նա ընդգծել է, որ երկու իրավիճակներն էլ հիպոթետիկ են և մոդելավորված են միայն փորձի համար։ Հետազոտության սխալները «չնչին» են և «անվնաս»:
2020 թվականին իր գործարկումից ի վեր, Zellic-ը աուդիտի ենթարկեց մի շարք բարձրակարգ DeFi արձանագրություններ, այդ թվում՝ 1 դյույմ (1INCH), LayerZero և SushiSwap (SUSHI):
Աղբյուր՝ https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst