Степхен Тонг, суоснивач блокчејн сигурносне фирме Зеллиц, пронашао је грешке у најпопуларнијем паметном уговору икада
Садржај
У његовом Верификација формата омотаног ЕТХ (ВЕТХ) У истраживању, Степхен Тонг је верификовао два параметра кључна за токеномски дизајн омотаног етра, ЕРЦ-20 токена који одражава Етер (ЕТХ) у ДеФи апликацијама.
Аналитичар је проверио тачност укупне понуде ВЕТХ и њену солвентност: Резултати
Данас, 19. новембра 2022, Тонг је објавио рецензију о две карактеристике Враппед Етхереум (ВЕТХ), паметног уговора на Етхереум (ЕТХ) мрежи дизајнираног да поједностави употребу ЕТХ у ДеФи-ју тако што ће га „умотати“ у обичан ЕРЦ- 20 имовине.
Грешка у ВЕТХ:
Враппед ЕТХ је паметан уговор који је био у преко 125 МИЛИОНА Етхереум трансакција. Ове године, 11.5% свих трансакција користило је омотани ЕТХ.
Али да ли је сигурно? Званично сам верификовао два критична безбедносна својства помоћу СМТ решавача, З3.👇🧵https://t.co/KH5vLjxwnm пиц.твиттер.цом/фМ7цф3ТЛАг— цтс (@гф_256) Новембар 19, 2022
Користио је инструменте ограничене клаузуле (ЦХЦ) за моделирање свих могућих стања омотаног Етхереума (ЕТХ). Затим је проверио да ли је метрика „укупне понуде“ ВЕТХ паметног уговора заправо једнака броју искованих токена.
Такође је покушао да провери да ли је било могуће откупити ЕТХ од ВЕТХ-а; Тонг је ову функцију назвао "солвентност".
Што се тиче прве тачке, аналитичар је открио да укупна понуда није нужно једнака количини постојећих токена:
Технички гледано, ЕРЦ-20 стандард наводи да тоталСуппли() треба да буде једнак...”укупној набавци”. Што је помало нејасно, али могло би се претпоставити да би то био укупан број токена који постоје
Преко функције самоуништења, која раскида уговор или преноси било која уговорна средства на одређену адресу, корисници би могли да ковају ВЕТХ токене без стварног слања ЕТХ на умотавање, закључио је Тонг.
Да ли је ово заиста опасно за кориснике ВЕТХ-а?
Такође је показао да депонент Етхерс-а (ЕТХ) неће нужно моћи да повуче своја средства из паметних уговора у било ком тренутку.
Унсат! То је резултат који желимо да видимо! пиц.твиттер.цом/лс7бхПакИ1
— цтс (@гф_256) Новембар 19, 2022
Као такав, он је дао два хипотетичка модела како би показао одсуство корелације између биланса уговора ВЕТХ и стварног броја искованих токена, као и „грешка у солвентности“ који би могао да утиче на процес повлачења.
Међутим, он је нагласио да су обе ситуације хипотетичке и моделоване само за експеримент. Грешке у истраживању су „мање“ и „безопасне“.
Од свог лансирања 2020. године, Зеллиц је извршио ревизију бројних врхунских ДеФи протокола, укључујући 1инцх (1ИНЦХ), ЛаиерЗеро и СусхиСвап (СУСХИ).
Извор: хттпс://у.тодаи/враппед-етхер-ветх-десигн-бугс-унвеилед-би-аналист