在DeFi应用程序FeiProtocol的联合创始人JoeySantoro的领导下,最近提出了一个EIP,用于为代币化保险库创建新的代币标准。它是EIP-4626。
尽管它刚刚在2021年12月提出,但很快就获得了以太坊社区的极大关注和大力支持,并据报道已被包括TribeDAO和RariCapitalDAO在内的一些DAO采用。
该EIP旨在解决代币化保险库现有实现中的一个痛点,即“代币化保险库缺乏标准化,导致实现细节多样化”。这个痛点使得标记化保险库的集成“在聚合器或插件层对于需要符合许多标准的协议很困难,并迫使每个协议实现自己的适配器,这些适配器容易出错并浪费开发资源”。
该EIP基于ERC-20,这是以太坊DeFi应用程序中广泛采用的标准,存在相当大的安全问题或风险,需要智能合约开发人员了解。
某聪明钱地址用5.8枚ETH购买9200亿枚WFAI:金色财经报道,Lookonchain监测数据显示,某聪明钱地址用5.8枚ETH(1.1万美元)购买了9200亿枚WFAI,平均买入价格为0.00000001182美元。与此相关的3个地址用9枚ETH(1.7万美元)共购买了16.3万亿美元的LADYS,并在Gateio和Uniswap上以119万美元的价格出售,获利约117万美元。[2023/5/31 11:50:56]
作为一家区块链安全公司,Fairyproof的研究团队对ERC-20实施的问题或风险是否也可能引入ERC-4626非常感兴趣。我们研究了这个EIP,探索了可能的安全检查点,并想分享一些关于这些检查点的想法。
此EIP要求代币化保险库必须实现ERC-20来表示股份,并添加新接口以将股份转换为代币或将代币转换为可查看函数和传输函数中的股份。而这些新增的功能引入了需要我们注意的安全注意事项。
Poloniex宣布选择EthereumFair (ETF)作为ETHW代币的主链:9月15日消息,Poloniex发布《关于以太坊分叉代币ETHW更名为ETF的公告》表示,决定选择由社区多数和更多PoW算力支持的分叉链EthereumFair (ETF)作为ETHW代币的主链。Poloniex也会根据情况支持其他分叉链和分叉代币。[2022/9/15 6:59:25]
以下是基于此EIP实施标记化保管库时的安全注意事项列表:
恶意功能的实施
考虑一个符合此EIP定义的接口但不符合规范的保险库实现。这种情况经常发生在使用代理机制的rug-pulls中,并且代理接口似乎符合令牌标准,但实际上,真正的实现是恶意合约。
因此,审计人员或用户需要在采取进一步行动之前仔细检查其实际实施情况。
Optimism生态项目提交OP代币分发申请提案:5月25日消息,Optimism生态项目陆续向Optimism治理基金提交代币分发申请提案,提议分配OP代币推动发展。近日提交申请提案的项目包括Layer2互操作性协议Connext、智能合约自动执行工具Gelato、订单簿模型DEXRubicon、链上数据分析平台DeFiLlama、跨Rollup转账协议HopProtocol、跨链桥Synapse、DeFi协议WePiggy、跨链流动性协议Stargate。Optimism此前发布激励提案模板,各项目在提案中说明了请求的OP代币数量、分配将如何激励Optimism的使用和流动性等。
此前消息,Optimism宣布已删除1.7万个女巫地址,回收的1400万枚OP将按比例重新分配给合格用户。[2022/5/25 3:40:08]
支持EOA账户
用于修复Compound代币分发合约漏洞的64号提案已经执行:10月10日消息,去中心化借贷平台Compound创始人Robert Leshner发推称,用于修复Compound代币分发合约漏洞的64号提案已经执行,正在修补合约漏洞。同时,Compound社区成员、加密产品开发公司GFX Labs创始人Getty Hill在推特上表示,修复工作将在10天后完成,但最终修复还需要65号提案。
此前报道,Compound 64号提案已于10月8日通过,该提案将对62号提案中的漏洞进行修复。[2021/10/10 20:18:11]
EIP指出“如果实施者打算直接支持EOA账户访问,他们应该考虑添加额外的存款/铸币/提款/赎回函数调用,以适应滑点损失或意外的存款/提款限制”。
Filecoin代币分发问题引发争端 创始团队与投资者已启动法律调解:Filecoin是区块链行业最受期待的项目之一,旨在实现去中心化数据存储功能,但在幕后Filecoin 开发公司 Protocol Labs 与其股权投资者就代币分发问题出现争端端,目前双方正在进行法律调解。据悉,Filecoin的母公司Protocol Labs成立于2014年,后来筹集了几轮种子融资,投资方包括BlueYard Capital,Digital Currency Group,Union Square Ventures和Winklevoss Capital,但这些投资都是获得母公司股权,Filecoin并未给予投资方任何代币承诺。2017年,Filecoin通过代币销售(包括当时最大的ICO)筹集了超过2.05亿美元的资金,Protocol Labs保留了一定比例的代币,从理论上讲,这会让公司的股权投资者的投资价值增长。但多个消息源称,这部分代币中的绝大多数是由首席执行官 Juan Batiz-Benet 单方面发放给他自己和早期员工了,作为股东的早期投资方并没有获得任何代币,因此导致双方产生分歧。根据本次法律调解,Protocol Labs 已经有所妥协并允许早期投资方获得低于他们期望数量的 Filecoin 代币,但目前尚不清楚是否所有股权投资者都同意该方案。(axios)[2020/8/19]
除了滑点损失和意外的存款/取款限制外,还有另一种常见的情况:代币在转账时被烧毁。一些DeFi应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。
我们建议ERC-4626保险库不允许将此类代币存入保险库。
使用接口作为预言机
EIP声明“预览方法返回的值尽可能接近精确。出于这个原因,它们可以通过改变链上条件来操纵,并且并不总是可以安全地用作价格预言机。”?,并且“将转换方法实施为使用时间加权平均价格在资产和股票之间转换是正确的。”?
加密空间中预言机最流行的用例是使用它们来获取代币的价格,但智能合约需要的任何信息都可能依赖于预言机。因此,返回信息的预览方法也可以用作预言机。尽管这似乎没有重要的用例,但就目前而言,这个列出的潜在问题需要我们注意。减轻链上信息被操纵风险的一种流行方法是使用Uniswap引入的时间加权平均算法。
舍入问题
Vault实施者需要仔细处理计算Vault份额或代币数量以及将份额转换为资产或将资产转换为份额的接口的舍入方向。
规范建议,在计算向用户发行的股份的标的代币数量时,他/她为他/她返回的一定数量的股份提供或发送给他/她的标的代币的数量,它应该向下舍入。
在计算用户必须提供以接收特定数量的基础代币的数量或用户必须提供以接收特定数量的股份的基础代币数量时,它应该四舍五入。
在计算converTo函数中的股份数量或基础令牌时,规范要求保险库实施者向下舍入以确保所有ERC-4626保险库实施的一致性。
这些建议和要求确保始终有足够数量的底层代币用于转移。这是审计人员在审计基于此EIP的保险库实施时需要注意的事项。
-代币兼容性问题
该EIP特别提到了ERC-20代币标准。它是实现可替代代币的最广泛采用的代币标准。然而,在我们过去的审计经验中,我们也审计了一些基于替代以太坊代币标准实施的可替代代币。
这些替代代币标准与ERC-20代币兼容,但存在一些差异。
让我们以EIP-777令牌标准为例。令牌标准允许实现者使用注册表来查找接口。如果注册表有错误,任何依赖它的东西都会产生不利影响。此功能引入的一个常见问题是重入风险。
因此,可能存在两种我们需要注意的场景。
第一种情况是基于ERC-20兼容但替代标准实施的保险库。第二个是ERC-4626值,它与与ERC-20兼容但基于替代令牌标准实施的令牌交互。
在这两种情况下,替代代币标准都可能带来问题或风险。并且应仔细审查和审核基于替代标准的实施。
结束语:
在本文中,我们列出了在审核基于ERC-4626的保险库时的一些可能的安全注意事项。其中一些考虑因素已在EIP中提及,其他考虑因素是根据我们的审计经验列出的。
我们希望我们的初步建议能给实施者、用户和审计员一些关于如何安全和安全地处理ERC-4626保险库的粗略想法。
参考:
EIP-4626:代币化保险库标准,https?://eips.ethereum.org/EIPS/eip-46262021年12月22日
去中心化自治组织,https://ethereum.org/en/dao/
部落,https://docs.fei.money/governance/tribe
瑞瑞资本,http://rari.capital/
ERC-20代币标准,https://ethereum.org/en/developers/docs/standards/tokens/erc-20/
Uniswap,https://uniswap.org/
EIP-777:代币标准,https://eips.ethereum.org/EIPS/eip-777
SamreenNF,AlalfiMH.以太坊智能合约中的重入漏洞识别//2020IEEE面向区块链的软件工程国际研讨会。IEEE,2020:22-29。
标签:DAOHTTEFIDEFIHDAOhttps://etherscan.ioDEFI价格DeFi Yield Protocol
“区块链技术基于密码学原理和共识机制,是一种去中心化的分布式账本数据库,具有鲜明的保密性。雄安新区自2017年上线区块链资金管理平台开始,大力建设全球第一座区块链城市.
剧情和当年接管特斯拉如出一辙。前脚刚成为Twitter大股东,后脚伊隆·马斯克就对这家社交网络巨头发动总攻了.
介绍 自2020年夏天以来,DeFi生态系统一直在试验渐进式去中心化——即基于代币的初创公司的创始团队随着时间的推移,放弃对其网络的控制权的过程。当然,这一过程的关键是代币的分配.
当美国及其盟友决定惩罚俄罗斯入侵乌克兰时,他们利用自己在全球金融体系中的影响力孤立了这个国家,使其经济陷入瘫痪,卢布贬值.
4月17日,高盛发布报告称,预计未来两年美国经济衰退的几率为35%。一石激起千层浪,加密圈和美股市场均因此出现一定的跌幅.
?22日,我省首个数字藏品规范化交易平台——虚猕数藏上线。这是浙江数据要素市场化在《浙江省公共数据条例》施行后迈出的第一步.