wwww

报告:实施以太坊EIP-4626时应注意仔细审查是否存在恶意合约等问题

Fairyproof于Medium发布了关于以太坊4626提案安全问题的报告,称该EIP要求代币化的金库必须实现ERC-20来表示份额,并添加新的接口来在可见函数和传输函数中将份额转换为代币或将代币转换为份额。因此基于此EIP实施代币化的金库时应注意以下风险:1.有可能会出现符合这个EIP定义的接口但不符合规范的恶意合约,审计人员需提前仔细检查。2.虽然此EIP规定实施者若直接支持EOA账户访问需添加额外的存款/铸币/提款/赎回函数调用,以适应滑点损失或意外的存提款限制,但忽略了代币在转账时被烧毁的情况,一些DeFi应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。所以建议ERC-4626金库不允许将此类代币存入金库。3.建议使用Uniswap引入的时间加权平均算法以减轻链上信息被操纵风险。4.该EIP规定了金库实施者计算金库分额或数据,以及将份额转换为资产或资产转换为份额时采用不同的舍入方式,有的需向下取整,有的四舍五入,审计人员在审计此EIP时需注意确保始终有足够数量的底层代币用于转移。5.应注意兼容性问题,替代代币可能会引入问题或风险,需仔细地审查和审计基于替代标准的实施。

相关文章