以太坊:Fairyproof：在 EIP-4626 中的安全注意事项

在 DeFi 应用程序 Fei Protocol 的联合创始人 Joey Santoro 的领导下，最近提出了一个 EIP，用于为代币化保险库创建新的代币标准。它是 EIP-4626。

尽管它刚刚在 2021 年 12 月提出，但很快就获得了以太坊社区的极大关注和大力支持，并据报道已被包括 Tribe DAO 和 Rari Capital DAO 在内的一些 DAO 采用。

该 EIP 旨在解决代币化保险库现有实现中的一个痛点，即“代币化保险库缺乏标准化，导致实现细节多样化”。这个痛点使得标记化保险库的集成“在聚合器或插件层对于需要符合许多标准的协议很困难，并迫使每个协议实现自己的适配器，这些适配器容易出错并浪费开发资源”。

该 EIP 基于 ERC-20，这是以太坊 DeFi 应用程序中广泛采用的标准，存在相当大的安全问题或风险，需要智能合约开发人员了解。

Rug Radio与NFT铸造平台Fair.xyz合作推出全新激励计划“Stubs”，3月拟推“听众证明”节目:金色财经报道，据Fair.xyz在社交媒体宣布，该NFT铸造平台已和Rug Radio达成合作拟向社区推出名为“Stubs”的全新奖励计划，目标是在 Rug Radio 生态系统中提供“能让听众获得 NFT 奖励的创新方式”。此外，Rug Radio 还宣布新的“听众证明”节目将于下个月在“GM Web3”中首次亮相，为 Rug Radio 的活跃听众提供福利，每场 GM Web3 节目期间，主持人都会发布“Stubs Mint 通行证的限量供应”，节目听众可以通过输入代码来领取，这些通行证只能由 Rug Radio 和 Degenz Access Pass持有人领取，通行证持有人随后可以选择烧毁以换取 Stubs 艺术品。[2023/2/21 12:19:09]

作为一家区块链安全公司，Fairyproof 的研究团队对 ERC-20 实施的问题或风险是否也可能引入 ERC-4626 非常感兴趣。我们研究了这个 EIP，探索了可能的安全检查点，并想分享一些关于这些检查点的想法。

以太坊PoW分叉Ethereum Fair与跨链项目SWFT Blockchain达成合作:8月7日消息，Ethereum Fair宣布与跨链项目SWFT Blockchain达成合作，Ethereum Fair是由ClassZZ技术社区发起的以太坊PoW分叉，将在以太坊过渡至PoS后保留原有的PoW链。SWFT Blockchain将支持Ethereum Fair生态系统发展。[2022/8/7 12:07:59]

此 EIP 要求代币化保险库必须实现 ERC-20 来表示股份，并添加新接口以将股份转换为代币或将代币转换为可查看函数和传输函数中的股份。而这些新增的功能引入了需要我们注意的安全注意事项。

以下是基于此 EIP 实施标记化保管库时的安全注意事项列表：

恶意功能的实施

Fairyproof CEO：合约的安全问题将延伸到NFT领域:3月19日，元宇宙国际高峰论坛在海口举办，Fairyproof CEO 谭粤飞就无法篡改、部署和执行不可逆以及开源这三方面科普了为什么审计在智能合约的安全性中起着关键作用；并介绍了如何利用人工智能和大数据技术支持合约的自动审计，可疑交易的自动追踪和识别。此外，谭粤飞还指出合约的安全问题及典型的攻击手法不仅存在于DeFi领域，还将延伸到NFT领域及整个元宇宙的合约实现。因此合约审计将是系统上保证元宇宙安全，保障元宇宙资产的关键环节。[2022/3/19 14:06:47]

考虑一个符合此 EIP 定义的接口但不符合规范的保险库实现。这种情况经常发生在使用代理机制的 rug-pulls 中，并且代理接口似乎符合令牌标准，但实际上，真正的实现是恶意合约。

动态 | 以太坊网站被大量使用 FairWin合同具有严重风险:据以太坊国际新闻消息，最近几周，Ethereum网站被大量使用，以至于ETH的矿商决定将区块的容量提高25%来允许更多的交易发生。调查显示，一份名为“FairWin”的有问题的智能合同受到了广泛的欢迎，消耗了以太坊所有天然气的50%。区块链游戏工作室Horizo??n Games的研发人员Philippe Castonguay最近在Twitter上写道，FairWin合同具有“严重风险，使所有资金都处于风险中”，然后要求其追随者传播这一知识。[2019/9/29]

因此，审计人员或用户需要在采取进一步行动之前仔细检查其实际实施情况。

支持 EOA 账户

EIP 指出“如果实施者打算直接支持 EOA 账户访问，他们应该考虑添加额外的存款/铸币/提款/赎回函数调用，以适应滑点损失或意外的存款/提款限制”。

动态 | 资金盘 Fair Win 及仿盘导致以太坊连日拥堵:近日多个以太坊资金盘 DAPP 因为玩法创新吸引了大批玩家涌入，有的资金盘加入了 Fomo 倒计时属性，有的资金盘则加入了等级机制，烧伤机制，这些功能导致以太坊区块链拥堵，待确认交易数量曾经达到今年历史最高值的 12 万。导致以太坊区块链上周拥堵的DAPP名叫 Fair Win，到目前为止该资金盘游戏合约内共计 51.5 万 ETH，约合人民币7.5 亿元。该游戏的热度甚至超过了2018 年7月份让以太坊网络拥堵的 DAPP——Fomo3D。（区块律动）[2019/9/23]

除了滑点损失和意外的存款/取款限制外，还有另一种常见的情况：代币在转账时被烧毁。一些 DeFi 应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。

我们建议 ERC-4626 保险库不允许将此类代币存入保险库。

使用接口作为预言机

EIP 声明“预览方法返回的值尽可能接近精确。出于这个原因，它们可以通过改变链上条件来操纵，并且并不总是可以安全地用作价格预言机。”?，并且“将转换方法实施为使用时间加权平均价格在资产和股票之间转换是正确的。”?

加密空间中预言机最流行的用例是使用它们来获取代币的价格，但智能合约需要的任何信息都可能依赖于预言机。因此，返回信息的预览方法也可以用作预言机。尽管这似乎没有重要的用例，但就目前而言，这个列出的潜在问题需要我们注意。减轻链上信息被操纵风险的一种流行方法是使用 Uniswap 引入的时间加权平均算法。

舍入问题

Vault 实施者需要仔细处理计算 Vault 份额或代币数量以及将份额转换为资产或将资产转换为份额的接口的舍入方向。

规范建议，在计算向用户发行的股份的标的代币数量时，他/她为他/她返回的一定数量的股份提供或发送给他/她的标的代币的数量，它应该向下舍入。

在计算用户必须提供以接收特定数量的基础代币的数量或用户必须提供以接收特定数量的股份的基础代币数量时，它应该四舍五入。

在计算 converTo 函数中的股份数量或基础令牌时，规范要求保险库实施者向下舍入以确保所有 ERC-4626 保险库实施的一致性。

这些建议和要求确保始终有足够数量的底层代币用于转移。这是审计人员在审计基于此 EIP 的保险库实施时需要注意的事项。

- 代币兼容性问题

该 EIP 特别提到了 ERC-20 代币标准。它是实现可替代代币的最广泛采用的代币标准。然而，在我们过去的审计经验中，我们也审计了一些基于替代以太坊代币标准（如 EIP-777）实施的可替代代币。

这些替代代币标准与 ERC-20 代币兼容，但存在一些差异。

让我们以 EIP-777 令牌标准为例。令牌标准允许实现者使用注册表来查找接口。如果注册表有错误，任何依赖它的东西都会产生不利影响。此功能引入的一个常见问题是重入风险 。

因此，可能存在两种我们需要注意的场景。

第一种情况是基于 ERC-20 兼容但替代标准实施的保险库。第二个是 ERC-4626 值，它与与 ERC-20 兼容但基于替代令牌标准实施的令牌交互。

在这两种情况下，替代代币标准都可能带来问题或风险。并且应仔细审查和审核基于替代标准的实施。

结束语：

在本文中，我们列出了在审核基于 ERC-4626 的保险库时的一些可能的安全注意事项。其中一些考虑因素已在 EIP 中提及，其他考虑因素是根据我们的审计经验列出的。

我们希望我们的初步建议能给实施者、用户和审计员一些关于如何安全和安全地处理 ERC-4626 保险库的粗略想法。

参考：

EIP-4626：代币化保险库标准，https?://eips.ethereum.org/EIPS/eip-4626 2021 年 12 月 22 日

去中心化自治组织，https://ethereum.org/en/dao/

部落，https://docs.fei.money/governance/tribe

瑞瑞资本，http: //rari.capital/

ERC-20 代币标准，https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Uniswap，https: //uniswap.org/

EIP-777：代币标准，https ://eips.ethereum.org/EIPS/eip-777

Samreen NF, Alalfi M H. 以太坊智能合约中的重入漏洞识别[C]//2020 IEEE 面向区块链的软件工程国际研讨会（IWBOSE）。IEEE，2020：22-29。

标签：以太坊FAIAIRFAIR怎么得到以太坊币交易Fair.GameBaby Billionaires ClubFAIR币归零

DOT热门资讯