Stephen Tong, suosnivač sigurnosne tvrtke za blockchain Zellic, pronašao je greške u najpopularnijem pametnom ugovoru ikada
Sadržaj
U njegovom Provjera formata omotanog ETH (WETH) istraživanja, Stephen Tong potvrdio je dva parametra ključna za tokenomski dizajn Wrapped Ether, ERC-20 tokena koji odražava Ether (ETH) u DeFi aplikacijama.
Analitičar je provjerio točnost ukupne ponude WETH i njegovu solventnost: Rezultati
Danas, 19. studenog 2022., Tong je objavio recenziju dviju značajki Wrapped Ethereuma (WETH), pametnog ugovora na Ethereum (ETH) mreži osmišljenog za pojednostavljenje upotrebe ETH-a u DeFi-ju tako što će ga "umotati" u obični ERC- 20 sredstvo.
Greška u WETH:
Wrapped ETH je pametni ugovor koji je bio u preko 125 MILIJUNA Ethereum transakcija. Ove je godine 11.5% svih transakcija koristilo Wrapped ETH.
Ali je li sigurno? Službeno sam potvrdio dva kritična sigurnosna svojstva pomoću SMT rješavača, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) Studenog 19, 2022
Iskoristio je instrumente Constrained Horn Clause (CHC) za modeliranje svih mogućih stanja Wrapped Ethereuma (ETH). Zatim je provjerio je li metrika "ukupne ponude" pametnog ugovora WETH zapravo jednaka broju iskovanih tokena.
Također je pokušao provjeriti je li moguće otkupiti ETH od WETH-a u bilo kojem trenutku; Tong je ovu funkciju nazvao "solventnost".
Što se tiče prve točke, analitičar je otkrio da ukupna ponuda nije nužno jednaka količini postojećih tokena:
Tehnički govoreći, standard ERC-20 određuje da bi totalSupply() trebao biti jednak... "ukupnoj ponudi". Što je pomalo nejasno, ali moglo bi se pretpostaviti da bi to bio ukupan broj žetona koji postoje
Preko funkcije samouništenja, koja raskida ugovor ili prijenose bilo kojih ugovornih sredstava na određenu adresu, korisnici bi mogli kovati WETH tokene bez stvarnog slanja ETH na pakiranje, zaključio je Tong.
Je li ovo stvarno opasno za korisnike WETH-a?
Također je pokazao da deponent Ethera (ETH) neće nužno moći povući svoja sredstva iz pametnih ugovora u bilo kojem trenutku.
Nesat! To je rezultat koji želimo vidjeti! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) Studenog 19, 2022
Kao takav, pružio je dva hipotetska modela za demonstraciju nepostojanja korelacije između stanja WETH ugovora i stvarnog broja iskovanih tokena, kao i "grešku solventnosti" koja bi mogla utjecati na proces povlačenja.
Međutim, naglasio je kako su obje situacije hipotetske i modelirane samo za eksperiment. Greške u istraživanju su "manje" i "bezopasne".
Od svog pokretanja 2020., Zellic je izvršio reviziju niza DeFi protokola najviše razine, uključujući 1inch (1INCH), LayerZero i SushiSwap (SUSHI).
Izvor: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst