FAIR:Fairyproof：在 EIP-4626 中的安全注意事项_fair币怎么样

作者：

时间：

在DeFi应用程序FeiProtocol的联合创始人JoeySantoro的领导下，最近提出了一个EIP，用于为代币化保险库创建新的代币标准。它是EIP-4626。

尽管它刚刚在2021年12月提出，但很快就获得了以太坊社区的极大关注和大力支持，并据报道已被包括TribeDAO和RariCapitalDAO在内的一些DAO采用。

该EIP旨在解决代币化保险库现有实现中的一个痛点，即“代币化保险库缺乏标准化，导致实现细节多样化”。这个痛点使得标记化保险库的集成“在聚合器或插件层对于需要符合许多标准的协议很困难，并迫使每个协议实现自己的适配器，这些适配器容易出错并浪费开发资源”。

该EIP基于ERC-20，这是以太坊DeFi应用程序中广泛采用的标准，存在相当大的安全问题或风险，需要智能合约开发人员了解。

安全公司Fairyproof：DAO的安全形势发展经历了三个阶段:5月13日消息，安全公司Fairyproof发布DAO综合安全研究报告。在报告中，Fairyproof 的研究团队对过去几年 DAO 的安全形势和状况的发展进行了综合性研究。在过去的几年里，尽管 DAO 的发展已取得了巨大的进步，目前的DAO 几乎在所有方面都比 2016 年要成熟得多，但安全问题似乎并没有减退，DAO 仍然面临着很多安全挑战。根据安全漏洞类型，Fairyproof认为 DAO 的安全形势发展经历了三个阶段。第一阶段：智能合约中的安全问题；第二阶段：执行机制中的安全问题；第三阶段：治理中的安全问题。相比其他安全问题，治理攻击是一种专门针对区块链应用的新型攻击，它比对智能合约的攻击更加复杂。[2022/5/13 3:13:37]

作为一家区块链安全公司，Fairyproof的研究团队对ERC-20实施的问题或风险是否也可能引入ERC-4626非常感兴趣。我们研究了这个EIP，探索了可能的安全检查点，并想分享一些关于这些检查点的想法。

灵踪安全（Fairyproof Tech）：Iron Bank合约有风险项目引用须谨慎:灵踪安全团队（Fairyproof Tech）分析发现，造成本次事故的原因是Cream协议新引入的无抵押借贷功能Iron Bank相关合约存在漏洞被黑客利用。

Iron Bank大胆采用了无抵押+白名单方式让用户从资金池借款。这种方式一方面提高了资金利用率和灵活度，但另一方面增加了项目借贷的风险敞口，试图采用部分中心化的方式对冲这类风险。

灵踪安全（Fairyproof Tech）认为由于Iron Bank合约上线时间尚不长，未经过市场检验，因此存在较大风险。因此我们提醒所有引用了Cream项目代码的团队暂时不要上线Iron Bank功能，加强风险控制。我们后续会发布更进一步的细节。[2021/2/13 19:41:17]

此EIP要求代币化保险库必须实现ERC-20来表示股份，并添加新接口以将股份转换为代币或将代币转换为可查看函数和传输函数中的股份。而这些新增的功能引入了需要我们注意的安全注意事项。

动态 | DeFi创企Fairmint推出新平台，支持资方根据公司收入表现进行投资:DeFi初创公司Fairmint推出了一个平台，允许用户根据收入表现对初创公司进行投资。该平台是基于一种名为持续证券发行（CSO）的新型初创公司融资模式而设计的，它将潜在的投资者群体从创始人、风投和员工扩大到任何人，以便让这些投资者获悉公司未来的收入。（The Block）[2020/2/7]

以下是基于此EIP实施标记化保管库时的安全注意事项列表：

恶意功能的实施

考虑一个符合此EIP定义的接口但不符合规范的保险库实现。这种情况经常发生在使用代理机制的rug-pulls中，并且代理接口似乎符合令牌标准，但实际上，真正的实现是恶意合约。

因此，审计人员或用户需要在采取进一步行动之前仔细检查其实际实施情况。

动态 | 荷兰组织FairChain与联合国合作进行区块链实验以帮助厄瓜多尔农民:荷兰组织FairChain基金会与联合国开发计划署合作进行了一项区块链实验。在由厄瓜多尔可可制成的黑巧克力或牛奶巧克力棒包装中，消费者可以扫描二维码将区块链代币捐赠给厄瓜多尔的农民，也可将代币作为下次消费的折扣，以此推动厄瓜多尔可可销售和帮助厄瓜多尔农民改善经济状况。(Fast Company)[2019/10/7]

支持EOA账户

EIP指出“如果实施者打算直接支持EOA账户访问，他们应该考虑添加额外的存款/铸币/提款/赎回函数调用，以适应滑点损失或意外的存款/提款限制”。

除了滑点损失和意外的存款/取款限制外，还有另一种常见的情况：代币在转账时被烧毁。一些DeFi应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。

Fair.Game团队将在二级市场回购2000万枚FAIR:据Fair.Game官网公告称，鉴于近期的市场形势，Fair.Game团队决定推出一轮二级市场回购。团队将在未来3个月期间（2月15日至5月15日），从OKEx和big.one回购2000万枚FAIR。回购后，这笔专项资金将用于市场推广或回馈用户。[2018/2/7]

我们建议ERC-4626保险库不允许将此类代币存入保险库。

使用接口作为预言机

EIP声明“预览方法返回的值尽可能接近精确。出于这个原因，它们可以通过改变链上条件来操纵，并且并不总是可以安全地用作价格预言机。”?，并且“将转换方法实施为使用时间加权平均价格在资产和股票之间转换是正确的。”?

加密空间中预言机最流行的用例是使用它们来获取代币的价格，但智能合约需要的任何信息都可能依赖于预言机。因此，返回信息的预览方法也可以用作预言机。尽管这似乎没有重要的用例，但就目前而言，这个列出的潜在问题需要我们注意。减轻链上信息被操纵风险的一种流行方法是使用Uniswap引入的时间加权平均算法。

舍入问题

Vault实施者需要仔细处理计算Vault份额或代币数量以及将份额转换为资产或将资产转换为份额的接口的舍入方向。

规范建议，在计算向用户发行的股份的标的代币数量时，他/她为他/她返回的一定数量的股份提供或发送给他/她的标的代币的数量，它应该向下舍入。

在计算用户必须提供以接收特定数量的基础代币的数量或用户必须提供以接收特定数量的股份的基础代币数量时，它应该四舍五入。

在计算converTo函数中的股份数量或基础令牌时，规范要求保险库实施者向下舍入以确保所有ERC-4626保险库实施的一致性。

这些建议和要求确保始终有足够数量的底层代币用于转移。这是审计人员在审计基于此EIP的保险库实施时需要注意的事项。

-代币兼容性问题

该EIP特别提到了ERC-20代币标准。它是实现可替代代币的最广泛采用的代币标准。然而，在我们过去的审计经验中，我们也审计了一些基于替代以太坊代币标准实施的可替代代币。