FAI:Fairyproof：在 EIP-4626 中的安全注意事項_PRO

在 DeFi 應用程序 Fei Protocol 的聯合創始人 Joey Santoro 的領導下，最近提出了一個 EIP，用于為代幣化保險庫創建新的代幣標準。它是 EIP-4626。

盡管它剛剛在 2021 年 12 月提出，但很快就獲得了以太坊社區的極大關注和大力支持，并據報道已被包括 Tribe DAO 和 Rari Capital DAO 在內的一些 DAO 采用。

該 EIP 旨在解決代幣化保險庫現有實現中的一個痛點，即“代幣化保險庫缺乏標準化，導致實現細節多樣化”。這個痛點使得標記化保險庫的集成“在聚合器或插件層對于需要符合許多標準的協議很困難，并迫使每個協議實現自己的適配器，這些適配器容易出錯并浪費開發資源”。

該 EIP 基于 ERC-20，這是以太坊 DeFi 應用程序中廣泛采用的標準，存在相當大的安全問題或風險，需要智能合約開發人員了解。

安全公司Fairyproof：DAO的安全形勢發展經歷了三個階段:5月13日消息，安全公司Fairyproof發布DAO綜合安全研究報告。在報告中，Fairyproof 的研究團隊對過去幾年 DAO 的安全形勢和狀況的發展進行了綜合性研究。在過去的幾年里，盡管 DAO 的發展已取得了巨大的進步，目前的DAO 幾乎在所有方面都比 2016 年要成熟得多，但安全問題似乎并沒有減退，DAO 仍然面臨著很多安全挑戰。根據安全漏洞類型，Fairyproof認為 DAO 的安全形勢發展經歷了三個階段。第一階段：智能合約中的安全問題；第二階段：執行機制中的安全問題；第三階段：治理中的安全問題。相比其他安全問題，治理攻擊是一種專門針對區塊鏈應用的新型攻擊， 它比對智能合約的攻擊更加復雜。[2022/5/13 3:13:37]

作為一家區塊鏈安全公司，Fairyproof 的研究團隊對 ERC-20 實施的問題或風險是否也可能引入 ERC-4626 非常感興趣。我們研究了這個 EIP，探索了可能的安全檢查點，并想分享一些關于這些檢查點的想法。

Fairyproof風險提示：BSC上SQUID GAME項目疑似出現跑路或被攻擊:11月1日消息，Fairyproof發布風險提示，與熱門韓劇《魷魚游戲》同名的BSC上項目SQUID疑似出現跑路或被攻擊，損失金額預估1200萬USDT。

據Fairyproof監測系統顯示：目前項目方官網已無法打開；

當前Pancake質押池中所有的代幣已經通過兩次交易被全部提出轉移到地址：0x71D934Aa2119CA3995F702f075d540f7A6b0f728。

其中一筆的交易在BSC上的哈希值為：0xf7c9d0e5a81999f9e06fe78df7ce41da112d8bd4f2da7b16cfdbbe46c92cb6af 。

發起提取代幣交易的地址為0x614826D885FF973324a5C3f43369d7C413a88aea。

此外來自地址0x1f5eabba9c56bca4a7828969b79bc87051125b31的交易者通過大量出售SQUID代幣將Pancake中交易對中的BNB轉移至：

0x71D934Aa2119CA3995F702f075d540f7A6b0f728。上述交易所需的初始Gas源頭都來自混幣應用Tornado.Cash。

Fairyproof提醒投資者警惕參與風險。[2021/11/1 21:16:03]

此 EIP 要求代幣化保險庫必須實現 ERC-20 來表示股份，并添加新接口以將股份轉換為代幣或將代幣轉換為可查看函數和傳輸函數中的股份。而這些新增的功能引入了需要我們注意的安全注意事項。

靈蹤安全（Fairyproof Tech）：Iron Bank合約有風險 項目引用須謹慎:靈蹤安全團隊（Fairyproof Tech）分析發現，造成本次事故的原因是Cream協議新引入的無抵押借貸功能Iron Bank相關合約存在漏洞被黑客利用。

Iron Bank大膽采用了無抵押+白名單方式讓用戶從資金池借款。這種方式一方面提高了資金利用率和靈活度，但另一方面增加了項目借貸的風險敞口，試圖采用部分中心化的方式對沖這類風險。

靈蹤安全（Fairyproof Tech）認為由于Iron Bank合約上線時間尚不長，未經過市場檢驗，因此存在較大風險。因此我們提醒所有引用了Cream項目代碼的團隊暫時不要上線Iron Bank功能，加強風險控制。我們后續會發布更進一步的細節。[2021/2/13 19:41:17]

以下是基于此 EIP 實施標記化保管庫時的安全注意事項列表：

LendHub合約代碼已通過fairproof安全審計:據官方消息，LendHub合約代碼已通過知名安全公司fairproof的安全審計。目前，LendHub已通過3家第三方公司的安全審計，其它知名安全公司的審計也在進行中。

LendHub團隊尤其重視平臺底層技術與安全問題，始終把保護用戶的資產安全放在發展的首位，并時刻為用戶提供全方位的安全保障。

LendHub是一個基于火幣生態鏈Heco的去中心化借貸平臺，目前已支持12種資產借貸挖礦LHB，以及LHB-USDT和LHB-HT的流動性質押挖礦。[2021/2/10 19:27:35]

惡意功能的實施

考慮一個符合此 EIP 定義的接口但不符合規范的保險庫實現。這種情況經常發生在使用代理機制的 rug-pulls 中，并且代理接口似乎符合令牌標準，但實際上，真正的實現是惡意合約。

SurfAir宣布支持LTC付款:加州會員制航空公司SurfAir宣布接受LTC付款。其中，全球線路的一年會員費為688.06223枚LTC。[2018/6/12]

因此，審計人員或用戶需要在采取進一步行動之前仔細檢查其實際實施情況。

支持 EOA 賬戶

EIP 指出“如果實施者打算直接支持 EOA 賬戶訪問，他們應該考慮添加額外的存款/鑄幣/提款/贖回函數調用，以適應滑點損失或意外的存款/提款限制”。

除了滑點損失和意外的存款/取款限制外，還有另一種常見的情況：代幣在轉賬時被燒毀。一些 DeFi 應用程序使用這種機制來減少其代幣的流通供應量并抬高代幣的價格。

我們建議 ERC-4626 保險庫不允許將此類代幣存入保險庫。

使用接口作為預言機

EIP 聲明“預覽方法返回的值盡可能接近精確。出于這個原因，它們可以通過改變鏈上條件來操縱，并且并不總是可以安全地用作價格預言機。”?，并且“將轉換方法實施為使用時間加權平均價格在資產和股票之間轉換是正確的。”?

加密空間中預言機最流行的用例是使用它們來獲取代幣的價格，但智能合約需要的任何信息都可能依賴于預言機。因此，返回信息的預覽方法也可以用作預言機。盡管這似乎沒有重要的用例，但就目前而言，這個列出的潛在問題需要我們注意。減輕鏈上信息被操縱風險的一種流行方法是使用 Uniswap 引入的時間加權平均算法。

舍入問題

Vault 實施者需要仔細處理計算 Vault 份額或代幣數量以及將份額轉換為資產或將資產轉換為份額的接口的舍入方向。

規范建議，在計算向用戶發行的股份的標的代幣數量時，他/她為他/她返回的一定數量的股份提供或發送給他/她的標的代幣的數量，它應該向下舍入。

在計算用戶必須提供以接收特定數量的基礎代幣的數量或用戶必須提供以接收特定數量的股份的基礎代幣數量時，它應該四舍五入。

在計算 converTo 函數中的股份數量或基礎令牌時，規范要求保險庫實施者向下舍入以確保所有 ERC-4626 保險庫實施的一致性。

這些建議和要求確保始終有足夠數量的底層代幣用于轉移。這是審計人員在審計基于此 EIP 的保險庫實施時需要注意的事項。

- 代幣兼容性問題

該 EIP 特別提到了 ERC-20 代幣標準。它是實現可替代代幣的最廣泛采用的代幣標準。然而，在我們過去的審計經驗中，我們也審計了一些基于替代以太坊代幣標準（如 EIP-777）實施的可替代代幣。

這些替代代幣標準與 ERC-20 代幣兼容，但存在一些差異。

讓我們以 EIP-777 令牌標準為例。令牌標準允許實現者使用注冊表來查找接口。如果注冊表有錯誤，任何依賴它的東西都會產生不利影響。此功能引入的一個常見問題是重入風險 。

因此，可能存在兩種我們需要注意的場景。

第一種情況是基于 ERC-20 兼容但替代標準實施的保險庫。第二個是 ERC-4626 值，它與與 ERC-20 兼容但基于替代令牌標準實施的令牌交互。

在這兩種情況下，替代代幣標準都可能帶來問題或風險。并且應仔細審查和審核基于替代標準的實施。

結束語：

在本文中，我們列出了在審核基于 ERC-4626 的保險庫時的一些可能的安全注意事項。其中一些考慮因素已在 EIP 中提及，其他考慮因素是根據我們的審計經驗列出的。

我們希望我們的初步建議能給實施者、用戶和審計員一些關于如何安全和安全地處理 ERC-4626 保險庫的粗略想法。

參考：

EIP-4626：代幣化保險庫標準，https?://eips.ethereum.org/EIPS/eip-4626 2021 年 12 月 22 日

去中心化自治組織，https://ethereum.org/en/dao/

部落，https://docs.fei.money/governance/tribe

瑞瑞資本，http: //rari.capital/

ERC-20 代幣標準，https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Uniswap，https: //uniswap.org/

EIP-777：代幣標準，https ://eips.ethereum.org/EIPS/eip-777

Samreen NF, Alalfi M H. 以太坊智能合約中的重入漏洞識別[C]//2020 IEEE 面向區塊鏈的軟件工程國際研討會（IWBOSE）。IEEE，2020：22-29。

Tags：FAIFAIRAIRPROfair幣官網fair幣怎么樣AIRDROPBPRO幣

火幣APP下載