Blockchain güvenlik firması Zellic'in kurucu ortağı Stephen Tong, şimdiye kadarki en popüler akıllı sözleşmede hatalar buldu.
İçerik
Onun içinde Paketlenmiş ETH'nin (WETH) Biçim Doğrulaması araştırmasında Stephen Tong, DeFi uygulamalarında Ether'i (ETH) yansıtan bir ERC-20 belirteci olan Wrapped Ether'in tokenomik tasarımı için çok önemli olan iki parametreyi doğruladı.
Analist, toplam WETH arzının doğruluğunu ve ödeme gücünü kontrol etti: Sonuçlar
Bugün, 19 Kasım 2022'de Tong, DeFi'de ETH kullanımını normal bir ERC'ye "sarmalayarak" düzene sokmak için tasarlanmış Ethereum (ETH) ağında akıllı bir sözleşme olan Wrapped Ethereum'un (WETH) iki özelliği hakkında bir inceleme yayınladı. 20 varlık.
WETH'deki bir hata:
Wrapped ETH, 125 MİLYONU aşkın Ethereum işleminde yer alan akıllı bir sözleşmedir. Bu yıl, tüm işlemlerin %11.5'i Wrapped ETH kullandı.
Ama güvenli mi? İki kritik güvenlik özelliğini bir SMT çözücü Z3 ile resmi olarak doğruladım.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) 19 Kasım 2022
Wrapped Ethereum'un (ETH) tüm olası durumlarını modellemek için Kısıtlı Boynuz Maddesi (CHC) araçlarından yararlandı. Ardından, WETH akıllı sözleşmesinin "toplam arz" metriğinin basılan token sayısına gerçekten eşit olup olmadığını kontrol etti.
Ayrıca herhangi bir zamanda ETH'yi WETH'den almanın mümkün olup olmadığını doğrulamaya çalıştı; Tong bu işlevi "ödeme gücü" olarak adlandırdı.
Analist, ilk noktayla ilgili olarak, toplam arzın mutlaka var olan token miktarına eşit olmadığını açıkladı:
Teknik olarak ERC-20 standardı, totalSupply() öğesinin “toplam arz” değerine eşit olması gerektiğini belirtir. Bu biraz belirsiz, ancak var olan toplam belirteçlerin olacağı varsayılabilir.
Tong, bir sözleşmeyi sonlandıran veya herhangi bir sözleşme fonunun belirli bir adrese transferini sağlayan selfdestruct işlevi aracılığıyla, kullanıcıların WETH tokenlerini paketleme için fiilen ETH göndermeden basabileceklerini belirtti.
Bu WETH kullanıcıları için gerçekten tehlikeli mi?
Ayrıca, Ether (ETH) yatıran kişinin herhangi bir zamanda akıllı sözleşmelerden fonlarını çekemeyeceğini de gösterdi.
Doymamış! İşte görmek istediğimiz sonuç! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) 19 Kasım 2022
Bu nedenle, WETH sözleşme bakiyesi ile basılan gerçek token sayısı arasındaki korelasyonun olmadığını ve ayrıca para çekme sürecini etkileyebilecek "ödeme gücü kusurunu" göstermek için iki varsayımsal model sağladı.
Ancak her iki durumun da varsayımsal olduğunu ve yalnızca deney için modellendiğini vurguladı. Araştırmadaki hatalar “küçük” ve “zararsız”.
2020'deki lansmanından bu yana Zellic, 1inch (1INCH), LayerZero ve SushiSwap (SUSHI) gibileri de dahil olmak üzere bir dizi üst düzey DeFi protokolünü denetledi.
Kaynak: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst