اكتشف ستيفن تونج ، الشريك المؤسس لشركة Zellic لأمن blockchain ، أخطاءً في أكثر العقود الذكية شيوعًا على الإطلاق
المحتويات
في التحقق من تنسيق ملف ETH (WETH) في البحث ، تحقق ستيفن تونغ من معلمتين حاسمتين للتصميم الرمزي لـ Wrapped Ether ، وهو رمز ERC-20 يعكس Ether (ETH) في تطبيقات DeFi.
قام المحلل بفحص دقة العرض الإجمالي لـ WETH وملاءته: النتائج
اليوم ، في 19 نوفمبر 2022 ، نشر تونغ مراجعة حول ميزتين لـ Wrapped Ethereum (WETH) ، وهو عقد ذكي على شبكة Ethereum (ETH) مصمم لتبسيط استخدام ETH في DeFi عن طريق "تغليفه" في ERC- 20 أصل.
خطأ في WETH:
Wrapped ETH هو عقد ذكي تم في أكثر من 125 مليون معاملة Ethereum. هذا العام ، استخدمت 11.5 ٪ من جميع المعاملات ملف ETH.
لكن هل هي آمنة؟ لقد تحققت رسميًا من خاصيتين هامتين للسلامة باستخدام أداة حل SMT ، Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg- cts (@ gf_256) 19 نوفمبر، 2022
لقد استفاد من أدوات شرط القرن المقيد (CHC) لنمذجة جميع الحالات الممكنة للإيثريوم المغلف (ETH). بعد ذلك ، قام بفحص ما إذا كان مقياس "إجمالي العرض" لعقد WETH الذكي يساوي بالفعل عدد الرموز المميزة التي تم سكها.
حاول أيضًا التحقق مما إذا كان من الممكن استرداد ETH من WETH في أي وقت ؛ دعا تونغ هذه الوظيفة "الملاءة".
فيما يتعلق بالنقطة الأولى ، كشف المحلل النقاب عن أن إجمالي العرض لا يساوي بالضرورة كمية التوكنات الموجودة:
من الناحية الفنية ، يحدد معيار ERC-20 أن إجمالي العرض () يجب أن يساوي ... "إجمالي العرض". وهو أمر غامض نوعًا ما ، ولكن قد يفترض المرء أنه سيكون إجمالي الرموز الموجودة
وخلص تونغ إلى أنه من خلال وظيفة التدمير الذاتي ، التي تنهي عقدًا أو تحويل أي أموال تعاقدية إلى عنوان محدد ، سيكون المستخدمون قادرين على سك رموز WETH دون إرسال ETH فعليًا للتغليف.
هل هذا حقا خطير على المستخدمين WETH؟
كما أوضح أن مودع Ethers (ETH) لن يكون بالضرورة قادرًا على سحب أمواله من العقود الذكية في أي وقت.
Unsat! هذه هي النتيجة التي نريد رؤيتها! pic.twitter.com/ls7bhPakY1
- cts (@ gf_256) 19 نوفمبر، 2022
على هذا النحو ، قدم نموذجين افتراضيين لإثبات عدم وجود ارتباط بين رصيد عقد WETH والعدد الفعلي للرموز المميزة المسكوكة ، بالإضافة إلى "عيب الملاءة المالية" الذي يمكن أن يؤثر على عملية السحب.
ومع ذلك ، شدد على أن كلتا الحالتين افتراضية ونمذجة للتجربة فقط. الأخطاء في البحث "طفيفة" و "غير ضارة".
منذ إطلاقها في عام 2020 ، قامت Zellic بتدقيق عدد من بروتوكولات DeFi عالية المستوى ، بما في ذلك أمثال 1 بوصة (1 بوصة) و LayerZero و SushiSwap (SUSHI).
المصدر: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst