სტივენ ტონგმა, ბლოკჩეინის უსაფრთხოების ფირმა Zellic-ის თანადამფუძნებელმა, აღმოაჩინა შეცდომები ყველაზე პოპულარულ სმარტ კონტრაქტში.
შინაარსი
თავის შეფუთული ETH (WETH) ფორმატის დადასტურება კვლევის შედეგად, სტივენ ტონგმა დაადასტურა ორი პარამეტრი, რომელიც გადამწყვეტია Wrapped Ether-ის ტოკენომიკური დიზაინისთვის, ERC-20 ჟეტონი, რომელიც ასახავს ეთერს (ETH) DeFi აპლიკაციებში.
ანალიტიკოსმა შეამოწმა მთლიანი WETH მიწოდების სიზუსტე და მისი გადახდისუნარიანობა: შედეგები
დღეს, 19 წლის 2022 ნოემბერს, ტონგმა გამოაქვეყნა მიმოხილვა Wrapped Ethereum-ის (WETH) ორი მახასიათებლის შესახებ, ჭკვიანი კონტრაქტი Ethereum (ETH) ქსელზე, რომელიც შექმნილია ETH-ის გამოყენების გასამარტივებლად DeFi-ში მისი რეგულარულ ERC-ში „შეფუთვით“. 20 აქტივი.
შეცდომა WETH-ში:
Wrapped ETH არის ჭკვიანი კონტრაქტი, რომელიც განხორციელდა 125 მილიონზე მეტ Ethereum ტრანზაქციაში. წელს, ყველა ტრანზაქციის 11.5%-მა გამოიყენა Wrapped ETH.
მაგრამ არის ის უსაფრთხო? მე ოფიციალურად შევამოწმე უსაფრთხოების ორი კრიტიკული თვისება SMT გამხსნელით, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) ნოემბერი 19, 2022
მან გამოიყენა შეზღუდული რქის პუნქტი (CHC) ინსტრუმენტები შეფუთული ეთერიუმის (ETH) ყველა შესაძლო მდგომარეობის მოდელირებისთვის. შემდეგ მან შეამოწმა WETH ჭკვიანი კონტრაქტის „მთლიანი მიწოდების“ მეტრიკა რეალურად უდრის თუ არა მოჭრილი ტოკენების რაოდენობას.
ის ასევე ცდილობდა გადაემოწმებინა, შესაძლებელი იყო თუ არა ETH-ის გამოსყიდვა WETH-დან ნებისმიერ დროს; ტონგმა ამ ფუნქციას "გადახდისუნარიანობა" უწოდა.
პირველ პუნქტთან დაკავშირებით, ანალიტიკოსმა გამოავლინა, რომ მთლიანი მიწოდება სულაც არ არის არსებული ტოკენების ოდენობის ტოლი:
ტექნიკურად რომ ვთქვათ, ERC-20 სტანდარტი განსაზღვრავს, რომ totalSupply() უნდა ტოლი იყოს…“მთლიანი მიწოდება”. რაც ცოტა ბუნდოვანია, მაგრამ შეიძლება ვივარაუდოთ, რომ ეს იქნება არსებული ტოკენების მთლიანი რაოდენობა
თვითგანადგურების ფუნქციის მეშვეობით, რომელიც წყვეტს კონტრაქტს ან გადასცემს ნებისმიერი კონტრაქტის თანხებს მითითებულ მისამართზე, მომხმარებლებს შეეძლებათ WETH ტოკენების მოჭრა შეფუთვაზე ETH რეალურად გაგზავნის გარეშე, დაასკვნა ტონგმა.
ეს მართლაც საშიშია WETH მომხმარებლებისთვის?
მან ასევე აჩვენა, რომ Ethers-ის (ETH) მეანაბრე აუცილებლად ვერ შეძლებს თავისი სახსრების ამოღებას ჭკვიანი კონტრაქტებიდან ნებისმიერ დროს.
უშაქრო! ეს არის შედეგი, რომლის ნახვაც გვინდა! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) ნოემბერი 19, 2022
როგორც ასეთი, მან წარმოადგინა ორი ჰიპოთეტური მოდელი WETH კონტრაქტის ბალანსსა და მოჭრილი ტოკენების რეალურ რაოდენობას შორის კორელაციის არარსებობის დემონსტრირებისთვის, ასევე „გადახდისუნარიანობის ხარვეზს“, რამაც შეიძლება გავლენა მოახდინოს გატანის პროცესზე.
თუმცა, მან ხაზი გაუსვა, რომ ორივე სიტუაცია ჰიპოთეტურია და მოდელირებულია მხოლოდ ექსპერიმენტისთვის. კვლევის შეცდომები არის "მცირე" და "უვნებელი".
2020 წელს გაშვების დღიდან, Zellic-მა აუდიტი მოახდინა უამრავ უმაღლესი დონის DeFi პროტოკოლს, მათ შორის, როგორიცაა 1inch (1INCH), LayerZero და SushiSwap (SUSHI).
წყარო: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst