Stephen Tong, bashkëthemelues i firmës së sigurisë së blockchain Zellic, gjeti gabime në kontratën më të njohur smart ndonjëherë
Përmbajtje
Në tij Verifikimi i formatit të ETH të mbështjellë (WETH) Studimi, Stephen Tong verifikoi dy parametra thelbësorë për dizajnin tokenomik të Ether-it të mbështjellë, një token ERC-20 që pasqyron Etherin (ETH) në aplikacionet DeFi.
Analisti kontrolloi saktësinë e furnizimit total të WETH dhe aftësinë paguese të tij: Rezultatet
Sot, më 19 nëntor 2022, Tong publikoi një përmbledhje mbi dy veçori të Wrapped Ethereum (WETH), një kontratë inteligjente në rrjetin Ethereum (ETH) e krijuar për të thjeshtuar përdorimin e ETH në DeFi duke e "mbështjellë" atë në një ERC të rregullt- 20 pasuri.
Një defekt në WETH:
ETH i mbështjellë është një kontratë inteligjente që ka qenë në mbi 125 MILION transaksione Ethereum. Këtë vit, 11.5% e të gjitha transaksioneve përdorën ETH të mbështjellë.
Por a është e sigurt? Kam verifikuar zyrtarisht dy veti kritike të sigurisë me një zgjidhje SMT, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) Nëntor 19, 2022
Ai përdori instrumentet e klauzolës së bririt të kufizuar (CHC) për të modeluar të gjitha gjendjet e mundshme të Ethereum-it të mbështjellë (ETH). Më pas, ai kontrolloi nëse metrika e "furnizimit total" të kontratës inteligjente WETH është në të vërtetë e barabartë me numrin e argumenteve të prera.
Ai u përpoq gjithashtu të verifikonte nëse ishte e mundur të blihej ETH nga WETH në çdo kohë; Tong e quajti këtë funksion "solvencë".
Lidhur me pikën e parë, analisti zbuloi se furnizimi total nuk është domosdoshmërisht i barabartë me sasinë e argumenteve që ekzistojnë:
Duke folur teknikisht, standardi ERC-20 specifikon që totalSupply() duhet të jetë i barabartë me…"furnizimin total". E cila është disi e paqartë, por dikush do të supozonte se do të ishin totali i shenjave që ekzistojnë
Nëpërmjet funksionit të vetëshkatërrimit, i cili përfundon një kontratë ose transferon çdo fond kontrate në një adresë të caktuar, përdoruesit do të jenë në gjendje të grumbullojnë tokenat WETH pa dërguar në të vërtetë ETH për mbështjellje, përfundoi Tong.
A është vërtet e rrezikshme kjo për përdoruesit e WETH?
Ai tregoi gjithashtu se depozituesi i Ethers (ETH) nuk do të jetë domosdoshmërisht në gjendje të tërheqë fondet e tij nga kontratat inteligjente në çdo kohë.
Pa ngrënë! Ky është rezultati që duam të shohim! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) Nëntor 19, 2022
Si i tillë, ai ofroi dy modele hipotetike për të demonstruar mungesën e korrelacionit midis bilancit të kontratës WETH dhe numrit aktual të argumenteve të prera, si dhe "të metën e aftësisë paguese" që mund të ndikojë në procesin e tërheqjes.
Megjithatë, ai theksoi se të dyja situatat janë hipotetike dhe të modeluara vetëm për eksperimentin. Defektet në hulumtim janë "të vogla" dhe "të padëmshme".
Që nga fillimi i tij në 2020, Zellic auditoi një numër protokollesh të nivelit më të lartë DeFi, duke përfshirë ato si 1inch (1INCH), LayerZero dhe SushiSwap (SUSHI).
Burimi: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst