SRI:Uniswap V3給合約審計帶來的新挑戰

萬眾期待的UniswapV3終于面世了，它的白皮書及相關源代碼已經向業界全面公開。

這兩天各個專業人士發表了對V3的看法，這些看法主要集中在V3所具備的新特點、帶來的新體驗。作為在安全領域從業的我們則更加關注V3對合約審計尤其是去中心化交易所合約審計帶來的新挑戰。

V3的問世毫無疑問將掀起新一輪DEX的升級大潮，因為它在資金效率、費用消耗、預言機優化等方面所作的改進將再次成為現有項目模仿的范本，也將成為眾多正在DEX賽道上創業團隊參照的藍本。

我們相信一批新的DEX合約會用到V3的實現方式，而這些新的DEX合約可能產生安全問題的源頭在以下兩方面：?

觀點：灰度和Uniswap裁決向美立法者傳達了修改監管的強烈信息:金色財經報道，一些專家表示，灰度和Uniswap裁決向美國立法者發出了強烈信息，即可能有必要修改監管。兩起法院案件的司法邏輯，尤其是民主黨任命的法官，具有特殊意義。

Paradigm政策總監Justin Slaughter表示，灰度法官Sri Srinivasan、Neomi Rao和Harry Edwards做出了這一裁決，Rao 撰寫了意見，而Srinivasan是巴拉克·奧巴馬 (Barack Obama) 總統任命的人，也是一位較為溫和的民主黨人。Srinivasan和Edwards都站在灰度一邊，這可能會發出一個信號，即美國證券交易委員會可能“輸給很多民主黨法官”。

Justin Slaughter補充說，華盛頓特區巡回法院被認為是美國第二重要的法院，因為它審理有關規則制定的案件，而且由于民主黨占多數，它也被視為 SEC的主場法院。

弗吉尼亞聯邦大學副教授John Aughenbaugh表示，灰度判決真正讓人印象深刻的并不是法官是由不同的總統任命的，而是法官是由不同政黨的總統任命的，他們基本上向SEC傳達了相同的信息，即你需要做出一些合理的決策，你不能繼續以不同的方式對待同一類比特幣產品。[2023/9/2 13:12:39]

1.由于V3引入了新的代碼許可協議，因此在商業方面將使得一些項目想直接照抄，拷貝變得有所顧忌，而不得不模仿它的實現方式，改寫它的源代碼。一旦改寫代碼就會給合約審計帶來挑戰。

PeckShield：Avalanche上元宇宙項目Universe發生Rug Pull:金色財經消息，派盾（PeckShield）預警顯示，Avalanche上元宇宙房地產項目Universe發生Rug Pull，代幣UNIV價格接近歸零。其中合約部署者鑄造了大約16萬億枚UNIV，并正進行銷售，已獲利約27萬美元。[2022/4/25 14:46:48]

2.在整體安全性上Uniswap的合約還是相當不錯的，這其中最重要的一個原因就是它的代碼簡潔、功能刪繁就簡。而V3在一系列細節上進行了修改，這在功能及性能上比V2有了極大提高，但在安全性方面就增加了復雜度。如果模仿團隊對這些改動不求甚解、完全照搬、甚至和以前的實現方式混用則會引入潛在的風險。

Uniswap延長流動性挖礦提議已進入共識檢查階段 反對率高達81.61%:Uniswap社區關于延長流動性挖礦的提案已于今日凌晨4:00正式進入共識檢查（Consensus Check）階段，目前反對率高達81.61%。

該提案提議保留所有流動性礦池，將每月UNI分配總額減少一半，即從每月1000萬UNI減少到每月500萬UNI，借此再延長兩個月流動性挖礦計劃，屆時四大池每個資金池每月將分配125萬UNI。

共識檢查階段將持續5天。如果投票通過且可獲得了至少50000的贊成票，這一提議將正式進入第三階段——作為正式的治理提案繼續推進。[2020/11/24 21:53:50]

那么具體V3在哪些方面對準備借鑒、參考它實現方式的團隊帶來了安全性方面的挑戰呢？

我們認為有以下四大方面：

一、交易對由單個流動性池變為多個流動性池

V3的這個做法是為了提高資金效率，讓用流動性提供者將資金存入到交易量最大的價格區間。然而這就導致流動性池由單個變為多個。那么交易過程就會涉及到交易在多個資金池之間的切換，就會涉及到復雜的合約交互。

此外，每個流動性池現在可以設置不同的費率，這其中的計算邏輯就會比單一流動性池要復雜，這其中稍有不慎就會涉及到邏輯實現和計算過程的錯誤。

二、LP代幣由同質通證變為非同質通證

在V2中，流動性池的代幣都被設計為同質通證，而在V3，它被設計為非同質通證。為了因應這個變化，V3中累積的費用會存在另外的池子中。但凡多了資金池，就多了被黑客攻擊的對象、就多了風險隱患，因此對這類新增加的資金池在安全方面的保障和維護就成為團隊必須要考慮的問題。

三、UNI治理權可以轉交給其它地址

本質上這種方式如果使用得當、管理周全倒也不會對系統造成嚴重的風險。但權力是“固定”的、人卻是“靈活”的。如果這個治理權被轉移到不當地址則后患無窮。

四、預言機的優化

V3對預言機進行了大膽的優化：其最重大的變化在我們看來就是價格計算方式的變化以及由計算方式帶來的一系列實現方式、流程邏輯的變化。

V3將價格的計算由算術平均值變為幾何平均值。用通俗的話說就是由加法運算變為對數運算。理論上，這極大拓展了價格的覆蓋區間，使得傳統上利用外在因素在極短時間引發價格劇烈波動從而操控交易的方式進一步失效。

但“福兮禍也”，這會不會在看上去一片大好的情況下引發新的問題？現在還不得而知，只能有待時間來證明。

此外，在V3白皮書中提到，這種方式讓其它合約調用預言機時能從某個交易對的多個流動性池中得到更可靠的數據。對此我們的擔心在于，如果某個池子被攻擊時，這個預言機所報的數據會不會不僅無效，而且誤差被更加放大？

對此，我們依然建議項目方在處理預言機喂價方面要謹慎又謹慎，盡量從多個數據源取數據，而不要依賴單一數據源，無論這個單一的數據源在理論計算上看上去多么美好、多么健壯。

Tags：UNISWAPUniswapSRIBit Union CoinAmorswapuniswap幣排行SRI價格

世界幣