FAI:Fairyproof：在 EIP-4626 中的安全注意事項

在 DeFi 應用程序 Fei Protocol 的聯合創始人 Joey Santoro 的領導下，最近提出了一個 EIP，用于為代幣化保險庫創建新的代幣標準。它是 EIP-4626。

盡管它剛剛在 2021 年 12 月提出，但很快就獲得了以太坊社區的極大關注和大力支持，并據報道已被包括 Tribe DAO 和 Rari Capital DAO 在內的一些 DAO 采用。

該 EIP 旨在解決代幣化保險庫現有實現中的一個痛點，即“代幣化保險庫缺乏標準化，導致實現細節多樣化”。這個痛點使得標記化保險庫的集成“在聚合器或插件層對于需要符合許多標準的協議很困難，并迫使每個協議實現自己的適配器，這些適配器容易出錯并浪費開發資源”。

該 EIP 基于 ERC-20，這是以太坊 DeFi 應用程序中廣泛采用的標準，存在相當大的安全問題或風險，需要智能合約開發人員了解。

NFT鑄造平臺Fair.xyz完成與Polygon的集成:7月22日消息，針對創作者的NFT鑄造平臺Fair.xyz宣布完成與Polygon的集成，允許創作者在Polygon上使用Fair的功能套件構建和發布收藏品。Fair.xyz此前已支持以太坊。同時，Fair.xyz和Polygon推出Polygon Open Edition NFT。

此前報道，2022年8月份，Fair.xyz完成由EdenBlock領投的450萬美元融資，OpenSea、NFX和First Minute Capital等參投。[2023/7/22 15:52:15]

作為一家區塊鏈安全公司，Fairyproof 的研究團隊對 ERC-20 實施的問題或風險是否也可能引入 ERC-4626 非常感興趣。我們研究了這個 EIP，探索了可能的安全檢查點，并想分享一些關于這些檢查點的想法。

安全公司Fairyproof：DAO的安全形勢發展經歷了三個階段:5月13日消息，安全公司Fairyproof發布DAO綜合安全研究報告。在報告中，Fairyproof 的研究團隊對過去幾年 DAO 的安全形勢和狀況的發展進行了綜合性研究。在過去的幾年里，盡管 DAO 的發展已取得了巨大的進步，目前的DAO 幾乎在所有方面都比 2016 年要成熟得多，但安全問題似乎并沒有減退，DAO 仍然面臨著很多安全挑戰。根據安全漏洞類型，Fairyproof認為 DAO 的安全形勢發展經歷了三個階段。第一階段：智能合約中的安全問題；第二階段：執行機制中的安全問題；第三階段：治理中的安全問題。相比其他安全問題，治理攻擊是一種專門針對區塊鏈應用的新型攻擊， 它比對智能合約的攻擊更加復雜。[2022/5/13 3:13:37]

此 EIP 要求代幣化保險庫必須實現 ERC-20 來表示股份，并添加新接口以將股份轉換為代幣或將代幣轉換為可查看函數和傳輸函數中的股份。而這些新增的功能引入了需要我們注意的安全注意事項。

中幣將于5月9日14:00正式上線Unknown Fair Object:據官方消息，中幣（ZB）將于香港時間2020年5月9日14:00上線Unknown Fair Object（UFO），并開放UFO/QC和UFO/USDT交易。UFO（Unknown Fair Object）屬于匿名幣項目，由一批隱私幣愛好者創建，基于MW協議，采用X17算法。目前處于最早期CPU挖礦階段，POW友好型礦幣，UFO是一項無邊界的項目，旨在保護我們的隱私。同時，UFO是一個匿名的區塊鏈協議，由世界各地開發人員透明地構建。?中幣（ZB）數字資產金融服務商，致力于為全球用戶打造安全、高效、專業的數字資產交易平臺。[2020/5/7]

以下是基于此 EIP 實施標記化保管庫時的安全注意事項列表：

惡意功能的實施

動態 | 資金盤 Fair Win 及仿盤導致以太坊連日擁堵:近日多個以太坊資金盤 DAPP 因為玩法創新吸引了大批玩家涌入，有的資金盤加入了 Fomo 倒計時屬性，有的資金盤則加入了等級機制，燒傷機制，這些功能導致以太坊區塊鏈擁堵，待確認交易數量曾經達到今年歷史最高值的 12 萬。導致以太坊區塊鏈上周擁堵的DAPP名叫 Fair Win，到目前為止該資金盤游戲合約內共計 51.5 萬 ETH，約合人民幣7.5 億元。該游戲的熱度甚至超過了2018 年7月份讓以太坊網絡擁堵的 DAPP——Fomo3D。（區塊律動）[2019/9/23]

考慮一個符合此 EIP 定義的接口但不符合規范的保險庫實現。這種情況經常發生在使用代理機制的 rug-pulls 中，并且代理接口似乎符合令牌標準，但實際上，真正的實現是惡意合約。

動態 | Beosin預警：持續警惕hardfail狀態攻擊 ?:Beosin（成都鏈安）預警，根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，目前仍有不少攻擊者嘗試使用hard_fail 狀態攻擊，攻擊測試目標已由交易所轉向各類游戲合約，截止9號晚間10點，攻擊者****wge在持續攻擊中嘗試混合使用正常轉賬交易和hardfail失敗交易，在兩次交易中設置同樣的memo，如果項目方從節點獲取交易數據時沒有做好完整的交易判斷，可能會因此造成損失，這種攻擊嘗試雖然簡單但仍可能造成危害，Beosin（成都鏈安）提醒各項目方做好自檢自查，對交易執行狀態進行校驗，避免不必要的損失。[2019/4/9]

因此，審計人員或用戶需要在采取進一步行動之前仔細檢查其實際實施情況。

支持 EOA 賬戶

EIP 指出“如果實施者打算直接支持 EOA 賬戶訪問，他們應該考慮添加額外的存款/鑄幣/提款/贖回函數調用，以適應滑點損失或意外的存款/提款限制”。

除了滑點損失和意外的存款/取款限制外，還有另一種常見的情況：代幣在轉賬時被燒毀。一些 DeFi 應用程序使用這種機制來減少其代幣的流通供應量并抬高代幣的價格。

我們建議 ERC-4626 保險庫不允許將此類代幣存入保險庫。

使用接口作為預言機

EIP 聲明“預覽方法返回的值盡可能接近精確。出于這個原因，它們可以通過改變鏈上條件來操縱，并且并不總是可以安全地用作價格預言機。”?，并且“將轉換方法實施為使用時間加權平均價格在資產和股票之間轉換是正確的。”?

加密空間中預言機最流行的用例是使用它們來獲取代幣的價格，但智能合約需要的任何信息都可能依賴于預言機。因此，返回信息的預覽方法也可以用作預言機。盡管這似乎沒有重要的用例，但就目前而言，這個列出的潛在問題需要我們注意。減輕鏈上信息被操縱風險的一種流行方法是使用 Uniswap 引入的時間加權平均算法。

舍入問題

Vault 實施者需要仔細處理計算 Vault 份額或代幣數量以及將份額轉換為資產或將資產轉換為份額的接口的舍入方向。

規范建議，在計算向用戶發行的股份的標的代幣數量時，他/她為他/她返回的一定數量的股份提供或發送給他/她的標的代幣的數量，它應該向下舍入。

在計算用戶必須提供以接收特定數量的基礎代幣的數量或用戶必須提供以接收特定數量的股份的基礎代幣數量時，它應該四舍五入。

在計算 converTo 函數中的股份數量或基礎令牌時，規范要求保險庫實施者向下舍入以確保所有 ERC-4626 保險庫實施的一致性。

這些建議和要求確保始終有足夠數量的底層代幣用于轉移。這是審計人員在審計基于此 EIP 的保險庫實施時需要注意的事項。

- 代幣兼容性問題

該 EIP 特別提到了 ERC-20 代幣標準。它是實現可替代代幣的最廣泛采用的代幣標準。然而，在我們過去的審計經驗中，我們也審計了一些基于替代以太坊代幣標準（如 EIP-777）實施的可替代代幣。

這些替代代幣標準與 ERC-20 代幣兼容，但存在一些差異。

讓我們以 EIP-777 令牌標準為例。令牌標準允許實現者使用注冊表來查找接口。如果注冊表有錯誤，任何依賴它的東西都會產生不利影響。此功能引入的一個常見問題是重入風險 。

因此，可能存在兩種我們需要注意的場景。

第一種情況是基于 ERC-20 兼容但替代標準實施的保險庫。第二個是 ERC-4626 值，它與與 ERC-20 兼容但基于替代令牌標準實施的令牌交互。

在這兩種情況下，替代代幣標準都可能帶來問題或風險。并且應仔細審查和審核基于替代標準的實施。

結束語：

在本文中，我們列出了在審核基于 ERC-4626 的保險庫時的一些可能的安全注意事項。其中一些考慮因素已在 EIP 中提及，其他考慮因素是根據我們的審計經驗列出的。

我們希望我們的初步建議能給實施者、用戶和審計員一些關于如何安全和安全地處理 ERC-4626 保險庫的粗略想法。

參考：

EIP-4626：代幣化保險庫標準，https?://eips.ethereum.org/EIPS/eip-4626 2021 年 12 月 22 日

去中心化自治組織，https://ethereum.org/en/dao/

部落，https://docs.fei.money/governance/tribe

瑞瑞資本，http: //rari.capital/

ERC-20 代幣標準，https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Uniswap，https: //uniswap.org/

EIP-777：代幣標準，https ://eips.ethereum.org/EIPS/eip-777

Samreen NF, Alalfi M H. 以太坊智能合約中的重入漏洞識別[C]//2020 IEEE 面向區塊鏈的軟件工程國際研討會（IWBOSE）。IEEE，2020：22-29。

Tags：FAIFAIRAIRDAOfair幣未來前景WFAIR幣FAIR幣CSP DAO

火幣APP下載