FAI:Fairyproof：在 EIP-4626 中的安全注意事項_AI Fairy

在DeFi應用程序FeiProtocol的聯合創始人JoeySantoro的領導下，最近提出了一個EIP，用于為代幣化保險庫創建新的代幣標準。它是EIP-4626。

盡管它剛剛在2021年12月提出，但很快就獲得了以太坊社區的極大關注和大力支持，并據報道已被包括TribeDAO和RariCapitalDAO在內的一些DAO采用。

該EIP旨在解決代幣化保險庫現有實現中的一個痛點，即“代幣化保險庫缺乏標準化，導致實現細節多樣化”。這個痛點使得標記化保險庫的集成“在聚合器或插件層對于需要符合許多標準的協議很困難，并迫使每個協議實現自己的適配器，這些適配器容易出錯并浪費開發資源”。

該EIP基于ERC-20，這是以太坊DeFi應用程序中廣泛采用的標準，存在相當大的安全問題或風險，需要智能合約開發人員了解。

Fairyproof：WORLD CUP INU項目方提取舊幣進行出售，導致價格大幅下跌:金色財經報道，據Fairyproof監測，以太坊上代幣名為 WORLD CUP INU (WCI) 價格在短時間內下跌了94%， 經Fairyproof分析，發現是項目方將代幣幣兌換合約0x4310b5B2E8b1c81fe1213A40C1e3FC571D435d5F 中的舊幣提取出來進行出售導致。Fairyproof 提醒投資者注意防范投資風險。[2023/1/3 22:23:24]

作為一家區塊鏈安全公司，Fairyproof的研究團隊對ERC-20實施的問題或風險是否也可能引入ERC-4626非常感興趣。我們研究了這個EIP，探索了可能的安全檢查點，并想分享一些關于這些檢查點的想法。

EthereumFair 發布新的社區激勵方案，將拿出 400萬個 ETF 支持礦工:9月16日消息，以太坊分叉鏈 EthereumFair 發布新的社區激勵方案，表示將之前轉向POS信標鏈的 1300 多萬個ETH 對整個社區與生態進行重新分配。

據悉，EthereumFair 將拿出400萬個 ETF 支持礦工，200萬個 ETF 給交易所；將多簽地址存放500萬個 ETF 支持生態建設，成立ETF DAO；對于 ClassZZ 技術社區，將根據地址余額排名空投100萬個 ETF 的所有持幣地址；對于社區建設，將 ETF DAO 多簽地址存放100萬個ETF在運營與社區方面進行支出。[2022/9/16 7:00:20]

此EIP要求代幣化保險庫必須實現ERC-20來表示股份，并添加新接口以將股份轉換為代幣或將代幣轉換為可查看函數和傳輸函數中的股份。而這些新增的功能引入了需要我們注意的安全注意事項。

DeFi保險協議FairSide完成420萬美元融資，Alameda Research等參投:11月18日消息，分散風險型DeFi保險協議FairSide 完成420萬美元融資，Alameda Research、Dominance Ventures、Jump Capital、Figment Capital和Daedalus等參投，所籌資金將用于進一步開發其DeFi保險協議。

注：FairSide 旨在為成員提供全面保險，涵蓋多個區塊鏈、項目和損失類型，加密貨幣持有者將不再需要管理多個保單、支付大量保費或等待創建池以獲得保險，通過FairSide獨特的產品，成員無需購買特定的項目保單即可自動獲得保險。[2021/11/18 22:01:58]

以下是基于此EIP實施標記化保管庫時的安全注意事項列表：

Fair Launch Capital推出融資新機制：可無償提供加密項目初始審計和啟動成本:一個名為Fair Launch Capital（FLC）的新項目聲稱為創始人提供了一種為加密網絡融資的新途徑。根據其8月26日發布的一條推文，該項目將為創始人提供加密網絡和項目的資金。FLC表示其不是一個風險投資基金，并將提供“無附加條件的資助”來支付項目的初始審計和啟動成本。

FLC背后的核心團隊是加密投資者Gavin McDermott和來自IDEO CoLab Ventures的Joe Gerber，以及Coinbase前雇員Reuben Bramanathan。他們表示，其目標是為DeFi項目提供一種社區驅動的替代方案。據悉，IDEO CoLab Ventures投資了許多加密初創公司，包括區塊鏈加速器項目Startup Studio。

FLC稱將“使創始人能夠啟動新的加密網絡，這些網絡從一開始就由社區獲得、擁有和管理”，無預售、無預挖、無代幣分發。項目啟動后，社區將進行治理投票，決定是否將他們收到的資金轉交給下一個有意嘗試Fair Launch的創始人。FLC表示，其核心團隊很快就會選擇一個單獨的項目來進行新模型的第一次實驗。（Cointelegraph）[2020/8/27]

惡意功能的實施

動態 | 慢霧發布針對 EOS 交易 hard_fail 狀態的新型攻擊說明:據 IMEOS 報道，慢霧發文解析了 hard_fail 狀態攻擊，根據其的情報捕獲與分析，慢霧意識到針對 EOS hard_faild 狀態的新型攻擊手法可能會造成更大范圍的影響，本次手法成因為項目方未對交易狀態進行嚴格且完備的檢驗導致攻擊發生，屬于“假充值”攻擊類型的一種。在此，慢霧安全團隊建議交易所和錢包要對發送給自己的轉賬交易在不可逆的區塊前提下檢測以下幾點：1. 判斷 status 是否為 executed2. 判斷 action 是否為 transfer3. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約4. 判斷代幣名稱及精度5. 判斷金額6. 判斷 to 是否是自己平臺的充幣賬號補充說明：本次攻擊可繞過節點 read-only 模式，開啟 read-only 模式仍然會受到攻擊。因為交易的狀態為：未執行->已經執行但執行失敗，并不是回滾所以即使開啟了 read-only 模式，依然會受到攻擊。[2019/3/12]

考慮一個符合此EIP定義的接口但不符合規范的保險庫實現。這種情況經常發生在使用代理機制的rug-pulls中，并且代理接口似乎符合令牌標準，但實際上，真正的實現是惡意合約。

因此，審計人員或用戶需要在采取進一步行動之前仔細檢查其實際實施情況。

支持EOA賬戶

EIP指出“如果實施者打算直接支持EOA賬戶訪問，他們應該考慮添加額外的存款/鑄幣/提款/贖回函數調用，以適應滑點損失或意外的存款/提款限制”。

除了滑點損失和意外的存款/取款限制外，還有另一種常見的情況：代幣在轉賬時被燒毀。一些DeFi應用程序使用這種機制來減少其代幣的流通供應量并抬高代幣的價格。

我們建議ERC-4626保險庫不允許將此類代幣存入保險庫。

使用接口作為預言機

EIP聲明“預覽方法返回的值盡可能接近精確。出于這個原因，它們可以通過改變鏈上條件來操縱，并且并不總是可以安全地用作價格預言機。”?，并且“將轉換方法實施為使用時間加權平均價格在資產和股票之間轉換是正確的。”?

加密空間中預言機最流行的用例是使用它們來獲取代幣的價格，但智能合約需要的任何信息都可能依賴于預言機。因此，返回信息的預覽方法也可以用作預言機。盡管這似乎沒有重要的用例，但就目前而言，這個列出的潛在問題需要我們注意。減輕鏈上信息被操縱風險的一種流行方法是使用Uniswap引入的時間加權平均算法。

舍入問題

Vault實施者需要仔細處理計算Vault份額或代幣數量以及將份額轉換為資產或將資產轉換為份額的接口的舍入方向。

規范建議，在計算向用戶發行的股份的標的代幣數量時，他/她為他/她返回的一定數量的股份提供或發送給他/她的標的代幣的數量，它應該向下舍入。

在計算用戶必須提供以接收特定數量的基礎代幣的數量或用戶必須提供以接收特定數量的股份的基礎代幣數量時，它應該四舍五入。

在計算converTo函數中的股份數量或基礎令牌時，規范要求保險庫實施者向下舍入以確保所有ERC-4626保險庫實施的一致性。

這些建議和要求確保始終有足夠數量的底層代幣用于轉移。這是審計人員在審計基于此EIP的保險庫實施時需要注意的事項。

-代幣兼容性問題

該EIP特別提到了ERC-20代幣標準。它是實現可替代代幣的最廣泛采用的代幣標準。然而，在我們過去的審計經驗中，我們也審計了一些基于替代以太坊代幣標準實施的可替代代幣。

這些替代代幣標準與ERC-20代幣兼容，但存在一些差異。

讓我們以EIP-777令牌標準為例。令牌標準允許實現者使用注冊表來查找接口。如果注冊表有錯誤，任何依賴它的東西都會產生不利影響。此功能引入的一個常見問題是重入風險。

因此，可能存在兩種我們需要注意的場景。

第一種情況是基于ERC-20兼容但替代標準實施的保險庫。第二個是ERC-4626值，它與與ERC-20兼容但基于替代令牌標準實施的令牌交互。

在這兩種情況下，替代代幣標準都可能帶來問題或風險。并且應仔細審查和審核基于替代標準的實施。

結束語：

在本文中，我們列出了在審核基于ERC-4626的保險庫時的一些可能的安全注意事項。其中一些考慮因素已在EIP中提及，其他考慮因素是根據我們的審計經驗列出的。

我們希望我們的初步建議能給實施者、用戶和審計員一些關于如何安全和安全地處理ERC-4626保險庫的粗略想法。

參考：

EIP-4626：代幣化保險庫標準，https?://eips.ethereum.org/EIPS/eip-46262021年12月22日

去中心化自治組織，https://ethereum.org/en/dao/

部落，https://docs.fei.money/governance/tribe

瑞瑞資本，http://rari.capital/

ERC-20代幣標準，https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Uniswap，https://uniswap.org/

EIP-777：代幣標準，https://eips.ethereum.org/EIPS/eip-777

SamreenNF,AlalfiMH.以太坊智能合約中的重入漏洞識別//2020IEEE面向區塊鏈的軟件工程國際研討會。IEEE，2020：22-29。

Tags：FAIAIRFAIRETHAI FairyBAIR幣WFAIReth價格今日行情

BNB價格