Nuevos desafíos que trae Uniswap V3 para contratar auditoría

Autor | CEO de Fairyproof Tech Tan Yuefei, Máster en Ingeniería Industrial (Master) de Virginia Tech, Blacksburg, VA, EE. UU. Solía ​​ser ingeniero de software de AIBT Inc (San José, CA, EE. UU.), una empresa de semiconductores de Silicon Valley en los Estados Unidos, responsable del desarrollo de programas de equipos de semiconductores y responsable del acoplamiento técnico integral y la comunicación con el equipo de la empresa. cliente clave: TSMC. Desde 2011, se ha dedicado a la investigación de tecnología integrada, de Internet y de cadena de bloques, profesor del curso "Introducción a la cadena de bloques" de la Universidad de Shenzhen, investigador visitante del Centro de Inteligencia y Cadena de Bloques de la Universidad Sun Yat-sen y director ejecutivo de Guangdong Financial. Asociación de Investigación de Innovación Tiene 4 Cuatro patentes relacionadas con blockchain.

El tan esperado Uniswap V3 finalmente está disponible, su libro blanco (https://uniswap.org/whitepaper-v3.pdf) y el código fuente relacionado (https://github.com/Uniswap/uniswap-v3-core/tree / main/contracts) se ha divulgado completamente a la industria.

'Lucha por el futuro' pide a las personas que se comuniquen con los senadores para apoyar la enmienda Wyden-Toomey-Lummis: la comunidad 'Lucha por el futuro' crea una 'Alerta roja' en el panel donde los partidarios de las criptomonedas están a solo unos clics de distancia Se puede contactar a todos los senadores. A medida que se intensifica el debate sobre la propuesta del IRS para gravar a los participantes del criptomercado como "corredores", "Fight for the Future" invita a todos los estadounidenses a pedir a los representantes del Senado que apoyen a las criptomonedas en el proyecto de ley de infraestructura (H.R. 3684) Enmienda Wyden-Toomey-Lummis a Reglamento de Moneda. Esta es, con mucho, la enmienda más "permisiva", con el objetivo de excluir a los mineros de las cadenas de bloques de PoW y a los interesados ​​en el consenso de PoS de los nuevos requisitos fiscales y contables.

Además, los usuarios de Twitter pueden usar @senator para participar en su debate sobre la nueva propuesta. Los seguidores pueden correr la voz sobre la acción con el hashtag #DontKillCrypto. (U. Hoy) [2021/8/8 1:42:17]

En los últimos dos días, varios profesionales han expresado sus puntos de vista sobre V3, y estos puntos de vista se centran principalmente en las nuevas funciones y la nueva experiencia que ofrece V3. Como profesionales en el campo de la seguridad, prestamos más atención a los nuevos desafíos que trae V3 para las auditorías de contratos, especialmente las auditorías de contratos de intercambio descentralizados.

La propuesta WIP-19 de la comunidad Wing aprobada pYFI se agregará a Flash Pool como un activo: Wing, una plataforma DeFi de cadena cruzada basada en ontología, declaró oficialmente que WIP-19 recibió más de 20,000 votos, el 99% de los cuales estaban a favor . WIP-19 pasó oficialmente. Yearn (pYFI) se agregará a Flash Pool como un activo para iniciar el negocio de préstamos, y pronto se anunciarán más detalles. [2020/12/18 15:41:41]

La llegada de V3, sin duda, desencadenará una nueva ola de actualizaciones de DEX, porque sus mejoras en términos de eficiencia de capital, consumo de costos y optimización de Oracle volverán a convertirse en un modelo a imitar para los proyectos existentes, y también se convertirá en un modelo para muchos. competencias DEX actuales El modelo para el equipo emprendedor en el camino para referirse.

Creemos que un lote de nuevos contratos DEX utilizará la implementación V3, y estos nuevos contratos DEX pueden causar problemas de seguridad en los siguientes dos aspectos:

1. Dado que V3 introduce un nuevo acuerdo de licencia de código, algunos proyectos tendrán que imitar su implementación y reescribir su código fuente en términos comerciales. Una vez que se reescriba el código, traerá desafíos para la auditoría de contratos.

2. En términos de seguridad general, el contrato de Uniswap es bastante bueno, una de las razones más importantes es que su código es conciso y sus funciones simplificadas. V3 se ha modificado en una serie de detalles, lo que ha mejorado mucho la función y el rendimiento en comparación con V2, pero ha aumentado la complejidad en términos de seguridad. Se introducirán riesgos potenciales si el equipo de imitación no comprende estos cambios, los copia por completo o incluso los mezcla con implementaciones anteriores.

Entonces, ¿en qué aspectos V3 trae desafíos de seguridad al equipo que está listo para aprender y referirse a su implementación?

Creemos que hay cuatro áreas principales:

1. El par comercial ha cambiado de un solo grupo de liquidez a múltiples grupos de liquidez

Este método de V3 es para mejorar la eficiencia de los fondos y permitir que los proveedores de liquidez depositen fondos en el rango de precios con el mayor volumen de negociación. Sin embargo, esto hace que el grupo de liquidez cambie de uno a uno múltiple. Entonces, el proceso de transacción implicará el cambio de transacciones entre múltiples fondos comunes, e implicará interacciones contractuales complejas.

Además, ahora cada pool de liquidez puede establecer tasas diferentes, y la lógica de cálculo en este será más complicada que la de un solo pool de liquidez, un pequeño descuido implicará errores en la implementación de la lógica y el proceso de cálculo.

2. Los tokens LP cambiaron de tokens homogéneos (ERC-20) a tokens no homogéneos

En V2, los tokens del fondo de liquidez están diseñados como tokens homogéneos, mientras que en V3, está diseñado como tokens no homogéneos. Para hacer frente a este cambio, las tarifas acumuladas en V3 se almacenarán en otro grupo. Cada vez que haya más grupos de fondos, habrá más objetivos para ser atacados por piratas informáticos y habrá más riesgos ocultos. Por lo tanto, la seguridad y el mantenimiento de este grupo de fondos recién agregado se ha convertido en un problema que el equipo debe considerar.

3. Los derechos de gobernanza de UNI pueden transferirse a otras direcciones

En esencia, si este método se utiliza correctamente y se gestiona a fondo, no causará riesgos graves para el sistema. Pero el poder es "fijo", pero la gente es "flexible". Si este derecho de gobierno se transfiere a una dirección incorrecta (como una comunidad sin DAO, una billetera sin firmas múltiples, etc.), habrá un sinfín de problemas.

4. Optimización de Oracle Machine

V3 ha optimizado audazmente el oráculo: el cambio más significativo en nuestra opinión es el cambio en el método de cálculo del precio y una serie de cambios en el método de implementación y la lógica del proceso provocados por el método de cálculo.

V3 cambia el cálculo del precio de la media aritmética a la media geométrica. En términos sencillos, es de una operación de suma a una operación logarítmica. En teoría, esto amplía enormemente el rango de cobertura de precios, lo que hace que la forma tradicional de utilizar factores externos para desencadenar fluctuaciones violentas de precios en un período de tiempo muy corto para manipular transacciones sea aún más ineficaz.

Pero "bendición y desgracia", ¿provocará esto nuevos problemas cuando todo parece ir bien? Todavía es una incógnita, solo el tiempo lo dirá.

Además, como se menciona en el documento técnico de V3, este método permite que otros contratos obtengan datos más confiables de múltiples fondos de liquidez de un determinado par comercial al llamar al oráculo. Nuestra preocupación sobre esto es que si se ataca un cierto grupo, ¿los datos informados por la máquina Oracle no solo serán inválidos, sino que el error se amplificará aún más?

En este sentido, aún recomendamos que la parte del proyecto sea cautelosa y cautelosa al tratar con la fuente de precios de la máquina Oracle, y trate de obtener datos de múltiples fuentes de datos en lugar de confiar en una sola fuente de datos, sin importar qué tan bueno sea el única fuente de datos se ve en los cálculos teóricos, ¿Qué tan robusto.

Tags：

Shiba coin