在DeFi應用程序FeiProtocol的聯合創始人JoeySantoro的領導下,最近提出了一個EIP,用于為代幣化保險庫創建新的代幣標準。它是EIP-4626。
盡管它剛剛在2021年12月提出,但很快就獲得了以太坊社區的極大關注和大力支持,并據報道已被包括TribeDAO和RariCapitalDAO在內的一些DAO采用。
該EIP旨在解決代幣化保險庫現有實現中的一個痛點,即“代幣化保險庫缺乏標準化,導致實現細節多樣化”。這個痛點使得標記化保險庫的集成“在聚合器或插件層對于需要符合許多標準的協議很困難,并迫使每個協議實現自己的適配器,這些適配器容易出錯并浪費開發資源”。
該EIP基于ERC-20,這是以太坊DeFi應用程序中廣泛采用的標準,存在相當大的安全問題或風險,需要智能合約開發人員了解。
Rug Radio與NFT鑄造平臺Fair.xyz合作推出全新激勵計劃“Stubs”,3月擬推“聽眾證明”節目:金色財經報道,據Fair.xyz在社交媒體宣布,該NFT鑄造平臺已和Rug Radio達成合作擬向社區推出名為“Stubs”的全新獎勵計劃,目標是在 Rug Radio 生態系統中提供“能讓聽眾獲得 NFT 獎勵的創新方式”。此外,Rug Radio 還宣布新的“聽眾證明”節目將于下個月在“GM Web3”中首次亮相,為 Rug Radio 的活躍聽眾提供福利,每場 GM Web3 節目期間,主持人都會發布“Stubs Mint 通行證的限量供應”,節目聽眾可以通過輸入代碼來領取,這些通行證只能由 Rug Radio 和 Degenz Access Pass持有人領取,通行證持有人隨后可以選擇燒毀以換取 Stubs 藝術品。[2023/2/21 12:19:09]
作為一家區塊鏈安全公司,Fairyproof的研究團隊對ERC-20實施的問題或風險是否也可能引入ERC-4626非常感興趣。我們研究了這個EIP,探索了可能的安全檢查點,并想分享一些關于這些檢查點的想法。
Ethereum Fair(ETF)發布v1.0.0版本節點羅馬分叉:9月14日消息,據Ethereum Fair官方推特發布,ETF技術社區發布v1.0.0羅馬分叉版本。該版本內容包含分叉難度為58,750,000,000,000,000,000,000,鎖定0x00000000219ab540356cbb839cbe05303d7705fa地址里的所有代幣分配給BTC,DOGE,ETC,CZZ的持幣者,分叉后的難度調整為100G,還是原來的挖礦算法,正式分叉后的ChainId為513100。[2022/9/14 6:56:18]
此EIP要求代幣化保險庫必須實現ERC-20來表示股份,并添加新接口以將股份轉換為代幣或將代幣轉換為可查看函數和傳輸函數中的股份。而這些新增的功能引入了需要我們注意的安全注意事項。
NFT鑄造平臺Fair.xyz與OpenSea合作推出靈魂綁定代幣Minter Token:9月8日消息,針對創作者的NFT鑄造平臺Fair.xyz與OpenSea合作推出靈魂綁定代幣Minter Token,以作為創作者與OG社區互動的新方式,它可直接集成到智能合約中,允許為NFT項目的鑄幣者構建封閉式體驗,并兼容所有歷史、現在和未來的NFT。其中用戶可進行免費Claim,前500名免Gas費,同時可通過分享Minter Token以參與RTFKT贈品的抽獎活動。[2022/9/8 13:15:39]
以下是基于此EIP實施標記化保管庫時的安全注意事項列表:
惡意功能的實施
考慮一個符合此EIP定義的接口但不符合規范的保險庫實現。這種情況經常發生在使用代理機制的rug-pulls中,并且代理接口似乎符合令牌標準,但實際上,真正的實現是惡意合約。
Fairyproof提示:定期檢查錢包授權情況及時取消不合適的授權:3月20日,跨鏈應用平臺 Li.Fi遭到攻擊。由于項目合約未開源,本次被利用的漏洞尚未被第三方公開報道。Fairyproof研究得到的信息是:事件中受到損失的用戶,其錢包中有授權的代幣皆被黑客卷走。
Fairyproof提示:代幣持有者在授權任何第三方協議或應用轉賬其錢包中的代幣時,千萬要注意授權,尤其要小心無限額的授權。代幣持有者最好定期檢查自己的代幣授權情況,及時取消不合適的授權。[2022/3/21 14:08:53]
因此,審計人員或用戶需要在采取進一步行動之前仔細檢查其實際實施情況。
支持EOA賬戶
EIP指出“如果實施者打算直接支持EOA賬戶訪問,他們應該考慮添加額外的存款/鑄幣/提款/贖回函數調用,以適應滑點損失或意外的存款/提款限制”。
動態 | FairWin合約內價值300萬美元的ETH被轉移清空:根據Etherscan的數據,以太坊上資金盤游戲FairWin的智能合約錢包已被清空,此前有價值300萬美元的ETH。鏈上數據顯示,這些ETH被轉移至多個以太坊地址。目前并不清楚這是黑客所為還是用戶提出ETH。(The Block)[2019/10/1]
除了滑點損失和意外的存款/取款限制外,還有另一種常見的情況:代幣在轉賬時被燒毀。一些DeFi應用程序使用這種機制來減少其代幣的流通供應量并抬高代幣的價格。
我們建議ERC-4626保險庫不允許將此類代幣存入保險庫。
使用接口作為預言機
EIP聲明“預覽方法返回的值盡可能接近精確。出于這個原因,它們可以通過改變鏈上條件來操縱,并且并不總是可以安全地用作價格預言機。”?,并且“將轉換方法實施為使用時間加權平均價格在資產和股票之間轉換是正確的。”?
加密空間中預言機最流行的用例是使用它們來獲取代幣的價格,但智能合約需要的任何信息都可能依賴于預言機。因此,返回信息的預覽方法也可以用作預言機。盡管這似乎沒有重要的用例,但就目前而言,這個列出的潛在問題需要我們注意。減輕鏈上信息被操縱風險的一種流行方法是使用Uniswap引入的時間加權平均算法。
舍入問題
Vault實施者需要仔細處理計算Vault份額或代幣數量以及將份額轉換為資產或將資產轉換為份額的接口的舍入方向。
規范建議,在計算向用戶發行的股份的標的代幣數量時,他/她為他/她返回的一定數量的股份提供或發送給他/她的標的代幣的數量,它應該向下舍入。
在計算用戶必須提供以接收特定數量的基礎代幣的數量或用戶必須提供以接收特定數量的股份的基礎代幣數量時,它應該四舍五入。
在計算converTo函數中的股份數量或基礎令牌時,規范要求保險庫實施者向下舍入以確保所有ERC-4626保險庫實施的一致性。
這些建議和要求確保始終有足夠數量的底層代幣用于轉移。這是審計人員在審計基于此EIP的保險庫實施時需要注意的事項。
-代幣兼容性問題
該EIP特別提到了ERC-20代幣標準。它是實現可替代代幣的最廣泛采用的代幣標準。然而,在我們過去的審計經驗中,我們也審計了一些基于替代以太坊代幣標準實施的可替代代幣。
這些替代代幣標準與ERC-20代幣兼容,但存在一些差異。
讓我們以EIP-777令牌標準為例。令牌標準允許實現者使用注冊表來查找接口。如果注冊表有錯誤,任何依賴它的東西都會產生不利影響。此功能引入的一個常見問題是重入風險。
因此,可能存在兩種我們需要注意的場景。
第一種情況是基于ERC-20兼容但替代標準實施的保險庫。第二個是ERC-4626值,它與與ERC-20兼容但基于替代令牌標準實施的令牌交互。
在這兩種情況下,替代代幣標準都可能帶來問題或風險。并且應仔細審查和審核基于替代標準的實施。
結束語:
在本文中,我們列出了在審核基于ERC-4626的保險庫時的一些可能的安全注意事項。其中一些考慮因素已在EIP中提及,其他考慮因素是根據我們的審計經驗列出的。
我們希望我們的初步建議能給實施者、用戶和審計員一些關于如何安全和安全地處理ERC-4626保險庫的粗略想法。
參考:
EIP-4626:代幣化保險庫標準,https?://eips.ethereum.org/EIPS/eip-46262021年12月22日
去中心化自治組織,https://ethereum.org/en/dao/
部落,https://docs.fei.money/governance/tribe
瑞瑞資本,http://rari.capital/
ERC-20代幣標準,https://ethereum.org/en/developers/docs/standards/tokens/erc-20/
Uniswap,https://uniswap.org/
EIP-777:代幣標準,https://eips.ethereum.org/EIPS/eip-777
SamreenNF,AlalfiMH.以太坊智能合約中的重入漏洞識別//2020IEEE面向區塊鏈的軟件工程國際研討會。IEEE,2020:22-29。
國際風險投資基金DraperDragon對MU項目進行了相當大的投資;一個雄心勃勃的技術、財務和發布平臺,使Web2.0游戲開發人員能夠將他們的新游戲和現有游戲快速轉換為Web3.
1900/1/1 0:00:00摘要: 又一只加密基金入場。 之前效力于Passport和微軟的JoeMcCann已經獲得MarcAndreessen和Solana的AnatolyYakovenko等人的投資承諾.
1900/1/1 0:00:00電商發布消息,近年來,全球的NFT市場一直處于緩慢發展階段。截止2020年全球NFT市值僅為3.17億美元,而進入2021年的NFT元年,市場迎來高速增長,目前市值已突破200億美元.
1900/1/1 0:00:002022年,加密市場熱度下降,截止4月份,2022年DeFi總TVL從2371億美金下降到2029億美金,降幅14.38%。而GameFi市場則正在吸引用戶及資本市場的目光.
1900/1/1 0:00:00要點: 采用和集成的增加導致閃電網絡的公共通道容量達到3,624枚比特幣或1.43億美元,年初至今增長了198%.
1900/1/1 0:00:00本文將概述一些我們認為當今DAO貢獻者應當培養和使用的最有價值的技能。我們針對3種技能提供寬泛的介紹,以及相應的策略和實踐方法。組織領導能力不再是高管的專屬領域.
1900/1/1 0:00:00