Stephen Tong, a Zellic blokklánc biztonsági cég társalapítója hibákat talált a valaha volt legnépszerűbb intelligens szerződésben
tartalom
Rob Palkovitz, a Delaware Egyetem humán fejlődéssel és családtanulmányokkal foglalkozó professzora, „A nemi nevelés hatása a gyermekek jólétére: elmélet és kutatás alkalmazott perspektívából” című A becsomagolt ETH formátumellenőrzése (WETH) Stephen Tong két olyan paramétert igazolt, amelyek kulcsfontosságúak a Wrapped Ether tokenomikai tervezése szempontjából, egy ERC-20 token, amely tükrözi az étert (ETH) a DeFi alkalmazásokban.
Az elemző ellenőrizte a teljes WETH-ellátás pontosságát és fizetőképességét: Eredmények
A mai napon, 19. november 2022-én Tong közzétett egy áttekintést a Wrapped Ethereum (WETH) két funkciójáról, amely az Ethereum (ETH) hálózaton kötött intelligens szerződés, amely az ETH használatának egyszerűsítésére szolgál a DeFi-ben azáltal, hogy normál ERC-be „csomagolja” azt. 20 eszköz.
Egy hiba a WETH-ben:
A Wrapped ETH egy intelligens szerződés, amely több mint 125 MILLIÓ Ethereum-tranzakcióban történt. Idén az összes tranzakció 11.5%-a Wrapped ETH-t használt.
De biztonságos? Két kritikus biztonsági tulajdonságot formálisan ellenőriztem egy SMT-megoldóval, a Z3.👇🧵-valhttps://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) November 19, 2022
A Constrained Horn Clause (CHC) eszközöket használta fel a Wrapped Ethereum (ETH) összes lehetséges állapotának modellezésére. Ezután ellenőrizte, hogy a WETH intelligens szerződés „teljes kínálat” mutatója valóban megegyezik-e a verett tokenek számával.
Azt is megpróbálta ellenőrizni, hogy bármikor megváltható-e az ETH a WETH-től; Tong ezt a függvényt „fizetőképességnek” nevezte.
Az első ponttal kapcsolatban az elemző leleplezte, hogy a teljes kínálat nem feltétlenül egyenlő a létező tokenek mennyiségével:
Technikailag az ERC-20 szabvány előírja, hogy a totalSupply()-nek egyenlőnek kell lennie a… „teljes kínálattal”. Ez kissé homályos, de az ember azt feltételezi, hogy ez a létező összes token
Az önmegsemmisítő funkción keresztül, amely felmondja a szerződést vagy a szerződéses pénzösszegeket egy meghatározott címre utalja át, a felhasználók anélkül verhetnek WETH tokeneket, hogy ténylegesen elküldenék az ETH-t csomagolásra, mondta Tong.
Ez valóban veszélyes a WETH felhasználók számára?
Azt is bebizonyította, hogy az Ethers (ETH) befizetője nem feltétlenül tudja bármikor kivenni a pénzét az intelligens szerződésekből.
Telítetlen! Ez az eredmény, amit látni szeretnénk! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) November 19, 2022
Mint ilyen, két hipotetikus modellt mutatott be annak bizonyítására, hogy nincs összefüggés a WETH szerződés egyenlege és a vert tokenek tényleges száma között, valamint a „fizetőképességi hibát”, amely befolyásolhatja a visszavonási folyamatot.
Hangsúlyozta azonban, hogy mindkét helyzet hipotetikus, és csak a kísérletre modellezték. A kutatásban előforduló hibák „kisebbek” és „ártalmatlanok”.
2020-as indulása óta a Zellic számos felső szintű DeFi protokollt auditált, köztük az 1 hüvelykes (1 hüvelykes), a LayerZero és a SushiSwap (SUSHI) protokollt.
Forrás: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst