在 DeFi 应用程序 Fei Protocol 的联合创始人 Joey Santoro 的领导下,最近提出了一个 EIP,用于为代币化保险库创建新的代币标准。它是 EIP-4626。
尽管它刚刚在 2021 年 12 月提出,但很快就获得了以太坊社区的极大关注和大力支持,并据报道已被包括 Tribe DAO 和 Rari Capital DAO 在内的一些 DAO 采用。
该 EIP 旨在解决代币化保险库现有实现中的一个痛点,即“代币化保险库缺乏标准化,导致实现细节多样化”。这个痛点使得标记化保险库的集成“在聚合器或插件层对于需要符合许多标准的协议很困难,并迫使每个协议实现自己的适配器,这些适配器容易出错并浪费开发资源”。
该 EIP 基于 ERC-20,这是以太坊 DeFi 应用程序中广泛采用的标准,存在相当大的安全问题或风险,需要智能合约开发人员了解。
作为一家区块链安全公司,Fairyproof 的研究团队对 ERC-20 实施的问题或风险是否也可能引入 ERC-4626 非常感兴趣。我们研究了这个 EIP,探索了可能的安全检查点,并想分享一些关于这些检查点的想法。
此 EIP 要求代币化保险库必须实现 ERC-20 来表示股份,并添加新接口以将股份转换为代币或将代币转换为可查看函数和传输函数中的股份。而这些新增的功能引入了需要我们注意的安全注意事项。
美国国会议员:国会不应该将数字资产监管交给监管机构或法院:1月26日消息,在给美国众议院金融服务委员会领导层的一封信中,北卡罗来纳州共和党人Patrick McHenry对美国加密货币监管中固有的“不一致的待遇和管辖权的不确定性”进行了讽刺,并呼吁委员会处理其关键问题。
McHenry提到由于商品期货交易委员会(CFTC)和证券交易委员会(SEC)对数字资产管辖权的竞争性主张而使该行业面临的混乱,他指出,他们的立场都没有法规依据。他认为,国会不应该将数字资产监管交给监管机构或法院,而应该介入对新的资产类别进行分类,并制定管理规则。此外,McHenry建议金融服务委员会仔细研究总统金融市场工作组(PWG)起草的稳定币报告,并研究美联储对美国中央银行数字货币(CBDC)的立场和未来步骤。(Cointelegraph)[2022/1/26 9:14:16]
以下是基于此 EIP 实施标记化保管库时的安全注意事项列表:
恶意功能的实施
考虑一个符合此 EIP 定义的接口但不符合规范的保险库实现。这种情况经常发生在使用代理机制的 rug-pulls 中,并且代理接口似乎符合令牌标准,但实际上,真正的实现是恶意合约。
因此,审计人员或用户需要在采取进一步行动之前仔细检查其实际实施情况。
Chia创始人:我们有超过 6000 万美元的银行存款:Chia创始人Bram Cohen在推特回答“如果公司遇到财务问题,董事会会投票出售预挖(代币)吗?”时表示,通过最近的股权融资,我们有超过 6000 万美元的银行存款。或暗示现金流充足,暂时并不会出售预挖代币(代币)。上月消息,Chia Network获得了6100万美元的风险投资。[2021/6/28 0:10:13]
支持 EOA 账户
EIP 指出“如果实施者打算直接支持 EOA 账户访问,他们应该考虑添加额外的存款/铸币/提款/赎回函数调用,以适应滑点损失或意外的存款/提款限制”。
除了滑点损失和意外的存款/取款限制外,还有另一种常见的情况:代币在转账时被烧毁。一些 DeFi 应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。
我们建议 ERC-4626 保险库不允许将此类代币存入保险库。
使用接口作为预言机
EIP 声明“预览方法返回的值尽可能接近精确。出于这个原因,它们可以通过改变链上条件来操纵,并且并不总是可以安全地用作价格预言机。”?,并且“将转换方法实施为使用时间加权平均价格在资产和股票之间转换是正确的。”?
加密空间中预言机最流行的用例是使用它们来获取代币的价格,但智能合约需要的任何信息都可能依赖于预言机。因此,返回信息的预览方法也可以用作预言机。尽管这似乎没有重要的用例,但就目前而言,这个列出的潜在问题需要我们注意。减轻链上信息被操纵风险的一种流行方法是使用 Uniswap 引入的时间加权平均算法。
舍入问题
Vault 实施者需要仔细处理计算 Vault 份额或代币数量以及将份额转换为资产或将资产转换为份额的接口的舍入方向。
规范建议,在计算向用户发行的股份的标的代币数量时,他/她为他/她返回的一定数量的股份提供或发送给他/她的标的代币的数量,它应该向下舍入。
在计算用户必须提供以接收特定数量的基础代币的数量或用户必须提供以接收特定数量的股份的基础代币数量时,它应该四舍五入。
在计算 converTo 函数中的股份数量或基础令牌时,规范要求保险库实施者向下舍入以确保所有 ERC-4626 保险库实施的一致性。
这些建议和要求确保始终有足够数量的底层代币用于转移。这是审计人员在审计基于此 EIP 的保险库实施时需要注意的事项。
- 代币兼容性问题
该 EIP 特别提到了 ERC-20 代币标准。它是实现可替代代币的最广泛采用的代币标准。然而,在我们过去的审计经验中,我们也审计了一些基于替代以太坊代币标准(如 EIP-777)实施的可替代代币。
这些替代代币标准与 ERC-20 代币兼容,但存在一些差异。
让我们以 EIP-777 令牌标准为例。令牌标准允许实现者使用注册表来查找接口。如果注册表有错误,任何依赖它的东西都会产生不利影响。此功能引入的一个常见问题是重入风险 。
因此,可能存在两种我们需要注意的场景。
第一种情况是基于 ERC-20 兼容但替代标准实施的保险库。第二个是 ERC-4626 值,它与与 ERC-20 兼容但基于替代令牌标准实施的令牌交互。
在这两种情况下,替代代币标准都可能带来问题或风险。并且应仔细审查和审核基于替代标准的实施。
结束语:
在本文中,我们列出了在审核基于 ERC-4626 的保险库时的一些可能的安全注意事项。其中一些考虑因素已在 EIP 中提及,其他考虑因素是根据我们的审计经验列出的。
我们希望我们的初步建议能给实施者、用户和审计员一些关于如何安全和安全地处理 ERC-4626 保险库的粗略想法。
参考:
EIP-4626:代币化保险库标准,https?://eips.ethereum.org/EIPS/eip-4626 2021 年 12 月 22 日
去中心化自治组织,https://ethereum.org/en/dao/
部落,https://docs.fei.money/governance/tribe
瑞瑞资本,http: //rari.capital/
ERC-20 代币标准,https://ethereum.org/en/developers/docs/standards/tokens/erc-20/
Uniswap,https: //uniswap.org/
EIP-777:代币标准,https ://eips.ethereum.org/EIPS/eip-777
Samreen NF, Alalfi M H. 以太坊智能合约中的重入漏洞识别[C]//2020 IEEE 面向区块链的软件工程国际研讨会(IWBOSE)。IEEE,2020:22-29。
标签:NFTENSX2Y2TPSRetroNFTsTENSHI价格x2y2币最新消息https://etherscan.io
要估算 OP 的价格和空投价值,我们需要: 1. 分析 OP 的 Token 经济学; 2. 把它与其他协议及相关指标进行对比; 3. 基于 3 个估值预期进行分析:乐观、温和和悲观。 空投占总量 19%:在空投 1 期计划中,5% 直接解锁,剩余 14% 则由 DAO 决定如何分配。 查询 1 期空投数量 核心贡献者(项目团队)占总量 19%。
从“元宇宙元年”2021年到现在,元宇宙热度持续高涨,国内各大互联网巨头也对元宇宙建设有了明确的规划。在元宇宙的布局中,巨头们纷纷尝试了游戏、社交、内容等不同的赛道,并根据自身优势从中有所侧重。 其中,腾讯和网易侧重元宇宙的游戏层面,百度和字节跳动侧重元宇宙的社交层面,阿里巴巴和哔哩哔哩侧重元宇宙的内容层面。
尽管整个金融市场都处于下行周期,但NFT领域还是源源不断地有新的收藏品爆红,而且NFT市场远不止于图像收藏。 NFT的特性决定了市场难以形成充足的流动性,所以谁要是解决了流动性的难题,谁就有机会占据还有很大成长空间的NFT市场。 本期链茶访邀请了NFT交易平台X2Y2的创始人TP,为我们介绍这个正在崛起的NFT交易平台打算如何占据市场。
它又发生了。者袭击了无聊猿游艇俱乐部(BAYC)世界并偷走了一些代币。但是,别担心,这不能怪web3。 黑客使用了旧的web 2.0的技巧来入侵项目的Instagram,并引诱人们点击未经请求的链接。 事情是这样的:在BAYC的账户被黑后,攻击者发布了一条消息,称通过空投在该项目的Metaverse上获得土地。
用一系列工具,使创建和铸造NFT变得轻而易举。 从CRM系统到电子商务平台和移动应用程序,各行各业的企业都前所未有地依赖于数字技术。NFT的世界也是如此——为了保持客户的参与度和粘性,我们需要利用大量的数字平台。 现在有一系列工具,使创建和铸造NFT变得轻而易举。
头条 ▌高盛首次提供比特币支持的贷款 4月29日消息,高盛集团提供了首个由比特币支持的贷款工具,这是一家美国大型银行加快华尔街接受加密货币的重要一步。高盛发言人表示,该担保借贷工具以借款人拥有的比特币为抵押借出现金。在加密货币价格飙升和受欢迎程度削弱了多年来的阻力之后,华尔街银行正在增加其加密货币产品。