ब्लॉकचैन सिक्योरिटी फर्म ज़ेलिक के सह-संस्थापक स्टीफन टोंग ने अब तक के सबसे लोकप्रिय स्मार्ट कॉन्ट्रैक्ट में बग पाए
विषय-सूची
अपने में लिपटे ETH (WETH) का प्रारूप सत्यापन अनुसंधान, स्टीफन टोंग ने लपेटे हुए ईथर के सांकेतिक डिजाइन के लिए महत्वपूर्ण दो मापदंडों की पुष्टि की, एक ईआरसी -20 टोकन जो डेफी अनुप्रयोगों में ईथर (ईटीएच) को प्रतिबिंबित करता है।
विश्लेषक ने कुल WETH आपूर्ति और इसकी सॉल्वेंसी की सटीकता की जाँच की: परिणाम
आज, 19 नवंबर, 2022 को, टोंग ने रैप्ड एथेरियम (WETH) की दो विशेषताओं पर एक समीक्षा प्रकाशित की, जो एथेरियम (ETH) नेटवर्क पर एक स्मार्ट अनुबंध है, जिसे DeFi में ETH के उपयोग को एक नियमित ERC में "रैपिंग" करके सुव्यवस्थित करने के लिए डिज़ाइन किया गया है- 20 संपत्ति।
WETH में एक बग:
लपेटा हुआ ETH एक स्मार्ट अनुबंध है जो 125 मिलियन से अधिक एथेरियम लेनदेन में रहा है। इस वर्ष, सभी लेन-देन का 11.5% रैप्ड ETH का उपयोग करता है।
लेकिन क्या यह सुरक्षित है? मैंने SMT सॉल्वर, Z3.👇🧵 के साथ दो महत्वपूर्ण सुरक्षा गुणों को औपचारिक रूप से सत्यापित कियाhttps://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg- सीटीएस (@gf_256) नवम्बर 19/2022
उन्होंने लपेटे हुए एथेरियम (ETH) के सभी संभावित राज्यों को मॉडल करने के लिए कंस्ट्रेन्ड हॉर्न क्लॉज (CHC) उपकरणों का लाभ उठाया। फिर, उन्होंने जाँच की कि क्या WETH स्मार्ट कॉन्ट्रैक्ट की "कुल आपूर्ति" मीट्रिक वास्तव में टोकन की संख्या के बराबर है।
उन्होंने यह सत्यापित करने का भी प्रयास किया कि क्या किसी भी समय ETH को WETH से भुनाना संभव है; टोंग ने इस फ़ंक्शन को "सॉल्वेंसी" कहा।
पहले बिंदु के बारे में, विश्लेषक ने खुलासा किया कि कुल आपूर्ति अस्तित्व में टोकन की मात्रा के बराबर नहीं है:
तकनीकी रूप से बोलते हुए, ईआरसी -20 मानक निर्दिष्ट करता है कि कुल आपूर्ति () "कुल आपूर्ति" के बराबर होनी चाहिए। जो थोड़े अस्पष्ट है, लेकिन कोई मान लेगा कि यह अस्तित्व में कुल टोकन होगा
सेल्फ डिस्ट्रक्ट फ़ंक्शन के माध्यम से, जो एक अनुबंध को समाप्त करता है या किसी निर्दिष्ट पते पर किसी अनुबंध निधि को स्थानांतरित करता है, उपयोगकर्ता वास्तव में रैपिंग के लिए ईटीएच भेजे बिना WETH टोकन का खनन करने में सक्षम होंगे, टोंग ने निष्कर्ष निकाला।
क्या यह वास्तव में WETH उपयोगकर्ताओं के लिए खतरनाक है?
उन्होंने यह भी प्रदर्शित किया कि ईथर (ईटीएच) के जमाकर्ता किसी भी समय स्मार्ट अनुबंधों से अपने धन को निकालने में सक्षम नहीं होंगे।
अनसैट! यही परिणाम हम देखना चाहते हैं! pic.twitter.com/ls7bhPakY1
- सीटीएस (@gf_256) नवम्बर 19/2022
इसलिए, उन्होंने WETH अनुबंध संतुलन और टोकन की वास्तविक संख्या के साथ-साथ निकासी प्रक्रिया को प्रभावित करने वाली "सॉल्वेंसी दोष" के बीच सहसंबंध की अनुपस्थिति को प्रदर्शित करने के लिए दो काल्पनिक मॉडल प्रदान किए।
हालांकि, उन्होंने जोर देकर कहा कि दोनों स्थितियां काल्पनिक हैं और केवल प्रयोग के लिए तैयार की गई हैं। शोध में बग "मामूली" और "हानिरहित" हैं।
2020 में लॉन्च होने के बाद से, ज़ेलिक ने 1inch (1INCH), LayerZero और SushiSwap (SUSHI) की पसंद सहित कई शीर्ष स्तरीय DeFi प्रोटोकॉल का ऑडिट किया।
स्रोत: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst