Si Stephen Tong, co-founder ng blockchain security firm na si Zellic, ay nakakita ng mga bug sa pinakasikat na smart contract kailanman
Nilalaman
Sa kanyang Pag-verify ng Format ng Naka-wrap na ETH (WETH) pananaliksik, na-verify ni Stephen Tong ang dalawang parameter na mahalaga para sa tokenomical na disenyo ng Wrapped Ether, isang ERC-20 token na sumasalamin sa Ether (ETH) sa mga DeFi application.
Sinuri ng analyst ang katumpakan ng kabuuang supply ng WETH at ang solvency nito: Mga resulta
Ngayon, noong Nob. 19, 2022, naglathala si Tong ng pagsusuri sa dalawang feature ng Wrapped Ethereum (WETH), isang matalinong kontrata sa Ethereum (ETH) network na idinisenyo upang i-streamline ang paggamit ng ETH sa DeFi sa pamamagitan ng "pagbabalot" nito sa isang regular na ERC- 20 asset.
Isang bug sa WETH:
Ang Wrapped ETH ay isang matalinong kontrata na nasa mahigit 125 MILYON na mga transaksyon sa Ethereum. Ngayong taon, 11.5% ng lahat ng transaksyon ang gumamit ng Wrapped ETH.
Ngunit ito ba ay ligtas? Pormal kong na-verify ang dalawang kritikal na katangian ng kaligtasan gamit ang isang SMT solver, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) Nobyembre 19, 2022
Ginamit niya ang mga instrumento ng Constrained Horn Clause (CHC) para i-modelo ang lahat ng posibleng estado ng Wrapped Ethereum (ETH). Pagkatapos, tiningnan niya kung ang sukatan ng "kabuuang supply" ng WETH smart contract ay talagang katumbas ng bilang ng mga token na nai-minted.
Sinubukan din niyang i-verify kung posible bang kunin ang ETH mula sa WETH anumang oras; Tinawag ni Tong ang function na ito na "solvency."
Tungkol sa unang punto, inihayag ng analyst na ang kabuuang supply ay hindi kinakailangang katumbas ng halaga ng mga token na umiiral:
Sa teknikal na pagsasalita, ang pamantayan ng ERC-20 ay tumutukoy na ang kabuuangSupply() ay dapat katumbas ng…”kabuuang supply”. Na medyo malabo, ngunit ipagpalagay ng isa na ito ang kabuuang mga token na umiiral
Sa pamamagitan ng selfdestruct function, na nagtatapos sa isang kontrata o paglilipat ng anumang mga pondo ng kontrata sa isang tinukoy na address, ang mga user ay makakapag-mint ng mga WETH token nang hindi aktwal na nagpapadala ng ETH para sa pagbabalot, pagtatapos ni Tong.
Ito ba ay talagang mapanganib para sa mga gumagamit ng WETH?
Ipinakita rin niya na ang depositor ng Ethers (ETH) ay hindi kinakailangang mag-withdraw ng kanilang mga pondo mula sa mga smart contract anumang oras.
Anot! Iyan ang resulta na gusto nating makita! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) Nobyembre 19, 2022
Dahil dito, nagbigay siya ng dalawang hypothetical na modelo upang ipakita ang kawalan ng ugnayan sa pagitan ng balanse ng kontrata ng WETH at ang aktwal na bilang ng mga token na ginawa, pati na rin ang "solvency flaw" na maaaring makaapekto sa proseso ng withdrawal.
Gayunpaman, binigyang-diin niya na ang parehong mga sitwasyon ay hypothetical at namodelo lamang para sa eksperimento. Ang mga bug sa pananaliksik ay "menor de edad" at "hindi nakakapinsala."
Mula nang ilunsad ito noong 2020, nag-audit si Zellic ng ilang nangungunang DeFi protocol, kabilang ang mga tulad ng 1inch (1INCH), LayerZero at SushiSwap (SUSHI).
Pinagmulan: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst