Fairyproof：在 EIP-4626 中的安全注意事項_FAI

在 DeFi 應用程序 Fei Protocol 的聯合創始人 Joey Santoro 的領導下，最近提出了一個 EIP，用于為代幣化保險庫創建新的代幣標準。它是 EIP-4626。

盡管它剛剛在 2021 年 12 月提出，但很快就獲得了以太坊社區的極大關注和大力支持，并據報道已被包括 Tribe DAO 和 Rari Capital DAO 在內的一些 DAO 采用。

該 EIP 旨在解決代幣化保險庫現有實現中的一個痛點，即“代幣化保險庫缺乏標準化，導致實現細節多樣化”。這個痛點使得標記化保險庫的集成“在聚合器或插件層對于需要符合許多標準的協議很困難，并迫使每個協議實現自己的適配器，這些適配器容易出錯并浪費開發資源”。

該 EIP 基于 ERC-20，這是以太坊 DeFi 應用程序中廣泛采用的標準，存在相當大的安全問題或風險，需要智能合約開發人員了解。

DeFi穩定幣協議LIEN將于9月7日上線FairSwap進行公募:DeFi穩定幣協議Lien（LIEN）表示將于北京時間9月7日21:00（可能延遲）在去中心化交易協議FairSwap上開放LIEN / iDOL交易以進行公募，初始價格約50美元， 初始流動資金為2000 LIEN / 1000000 iDOL 。[2020/9/3]

作為一家區塊鏈安全公司，Fairyproof 的研究團隊對 ERC-20 實施的問題或風險是否也可能引入 ERC-4626 非常感興趣。我們研究了這個 EIP，探索了可能的安全檢查點，并想分享一些關于這些檢查點的想法。

此 EIP 要求代幣化保險庫必須實現 ERC-20 來表示股份，并添加新接口以將股份轉換為代幣或將代幣轉換為可查看函數和傳輸函數中的股份。而這些新增的功能引入了需要我們注意的安全注意事項。

區塊鏈游戲運營商FunFair添加銀行卡支付功能:總部位于都柏林的區塊鏈游戲運營商FunFair希望通過提供傳統的法幣支付服務來擴大受眾范圍。在與加密貨幣支付處理器MoonPay達成合作后，FunFair已在其產品中增加了銀行卡支付功能，希望借此吸引更多的受眾。（EGR）[2020/4/22]

以下是基于此 EIP 實施標記化保管庫時的安全注意事項列表：

惡意功能的實施

考慮一個符合此 EIP 定義的接口但不符合規范的保險庫實現。這種情況經常發生在使用代理機制的 rug-pulls 中，并且代理接口似乎符合令牌標準，但實際上，真正的實現是惡意合約。

因此，審計人員或用戶需要在采取進一步行動之前仔細檢查其實際實施情況。

支持 EOA 賬戶

動態 | 荷蘭組織FairChain與聯合國合作進行區塊鏈實驗 以幫助厄瓜多爾農民:荷蘭組織FairChain基金會與聯合國開發計劃署合作進行了一項區塊鏈實驗。在由厄瓜多爾可可制成的黑巧克力或牛奶巧克力棒包裝中，消費者可以掃描二維碼將區塊鏈代幣捐贈給厄瓜多爾的農民，也可將代幣作為下次消費的折扣，以此推動厄瓜多爾可可銷售和幫助厄瓜多爾農民改善經濟狀況。(Fast Company)[2019/10/7]

EIP 指出“如果實施者打算直接支持 EOA 賬戶訪問，他們應該考慮添加額外的存款/鑄幣/提款/贖回函數調用，以適應滑點損失或意外的存款/提款限制”。

除了滑點損失和意外的存款/取款限制外，還有另一種常見的情況：代幣在轉賬時被燒毀。一些 DeFi 應用程序使用這種機制來減少其代幣的流通供應量并抬高代幣的價格。

動態 | Mercatox交易所遭hard_fail攻擊:今天下午18:43-19:05，PeckShield安全盾風控平臺DAppShield監測到黑客向Mercatox交易所發起連續攻擊，獲利數千枚EOS。PeckShield安全人員初步分析發現，黑客利用失敗的（hard_fail）轉賬交易騙過交易所服務器。PeckShield安全人員在此提醒，開發者應在合約上線前做好安全測試，必要時可尋求第三方安全公司協助，幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/3/15]

我們建議 ERC-4626 保險庫不允許將此類代幣存入保險庫。

使用接口作為預言機

EIP 聲明“預覽方法返回的值盡可能接近精確。出于這個原因，它們可以通過改變鏈上條件來操縱，并且并不總是可以安全地用作價格預言機。”?，并且“將轉換方法實施為使用時間加權平均價格在資產和股票之間轉換是正確的。”?

FAIR現價2.34元 跌幅達20.80%:OKEx今日下午4點上線FAIR交易。FAIR開盤價2.57元，最高價2.84元，最低價2.20元，現價2.34元，跌幅達20.80%。[2018/1/9]

加密空間中預言機最流行的用例是使用它們來獲取代幣的價格，但智能合約需要的任何信息都可能依賴于預言機。因此，返回信息的預覽方法也可以用作預言機。盡管這似乎沒有重要的用例，但就目前而言，這個列出的潛在問題需要我們注意。減輕鏈上信息被操縱風險的一種流行方法是使用 Uniswap 引入的時間加權平均算法。

舍入問題

Vault 實施者需要仔細處理計算 Vault 份額或代幣數量以及將份額轉換為資產或將資產轉換為份額的接口的舍入方向。

規范建議，在計算向用戶發行的股份的標的代幣數量時，他/她為他/她返回的一定數量的股份提供或發送給他/她的標的代幣的數量，它應該向下舍入。

在計算用戶必須提供以接收特定數量的基礎代幣的數量或用戶必須提供以接收特定數量的股份的基礎代幣數量時，它應該四舍五入。

在計算 converTo 函數中的股份數量或基礎令牌時，規范要求保險庫實施者向下舍入以確保所有 ERC-4626 保險庫實施的一致性。

這些建議和要求確保始終有足夠數量的底層代幣用于轉移。這是審計人員在審計基于此 EIP 的保險庫實施時需要注意的事項。

- 代幣兼容性問題

該 EIP 特別提到了 ERC-20 代幣標準。它是實現可替代代幣的最廣泛采用的代幣標準。然而，在我們過去的審計經驗中，我們也審計了一些基于替代以太坊代幣標準（如 EIP-777）實施的可替代代幣。

這些替代代幣標準與 ERC-20 代幣兼容，但存在一些差異。

讓我們以 EIP-777 令牌標準為例。令牌標準允許實現者使用注冊表來查找接口。如果注冊表有錯誤，任何依賴它的東西都會產生不利影響。此功能引入的一個常見問題是重入風險 。

因此，可能存在兩種我們需要注意的場景。

第一種情況是基于 ERC-20 兼容但替代標準實施的保險庫。第二個是 ERC-4626 值，它與與 ERC-20 兼容但基于替代令牌標準實施的令牌交互。

在這兩種情況下，替代代幣標準都可能帶來問題或風險。并且應仔細審查和審核基于替代標準的實施。

結束語：

在本文中，我們列出了在審核基于 ERC-4626 的保險庫時的一些可能的安全注意事項。其中一些考慮因素已在 EIP 中提及，其他考慮因素是根據我們的審計經驗列出的。

我們希望我們的初步建議能給實施者、用戶和審計員一些關于如何安全和安全地處理 ERC-4626 保險庫的粗略想法。

參考：

EIP-4626：代幣化保險庫標準，https?://eips.ethereum.org/EIPS/eip-4626 2021 年 12 月 22 日

去中心化自治組織，https://ethereum.org/en/dao/

部落，https://docs.fei.money/governance/tribe

瑞瑞資本，http: //rari.capital/

ERC-20 代幣標準，https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Uniswap，https: //uniswap.org/

EIP-777：代幣標準，https ://eips.ethereum.org/EIPS/eip-777

Samreen NF, Alalfi M H. 以太坊智能合約中的重入漏洞識別[C]//2020 IEEE 面向區塊鏈的軟件工程國際研討會（IWBOSE）。IEEE，2020：22-29。

Tags：FAIAIRFAIRHTTWFAI價格Cairo Financefair幣最新消息BHTT

Uniswap