Stephen Tong, cofundador de la firma de seguridad blockchain Zellic, encontró errores en el contrato inteligente más popular de todos los tiempos
Contenido
En su Verificación de formato de ETH envuelto (WETH) investigación, Stephen Tong verificó dos parámetros cruciales para el diseño tokenómico de Wrapped Ether, un token ERC-20 que refleja Ether (ETH) en aplicaciones DeFi.
Analista verificó la precisión del suministro total de WETH y su solvencia: Resultados
Hoy, 19 de noviembre de 2022, Tong publicó una reseña sobre dos características de Wrapped Ethereum (WETH), un contrato inteligente en la red Ethereum (ETH) diseñado para optimizar el uso de ETH en DeFi al "envolverlo" en un ERC- 20 activo.
Un error en WETH:
Wrapped ETH es un contrato inteligente que ha estado en más de 125 MILLONES de transacciones Ethereum. Este año, el 11.5% de todas las transacciones utilizaron Wrapped ETH.
¿Pero es seguro? Verifiqué formalmente dos propiedades críticas de seguridad con un solucionador SMT, Z3.👇🧵https://t.co/KH5vLjxwnm pic.twitter.com/fM7cf3TLAg— cts (@gf_256) 19 de noviembre.
Aprovechó los instrumentos de la Cláusula de bocina restringida (CHC) para modelar todos los estados posibles de Wrapped Ethereum (ETH). Luego, verificó si la métrica de "suministro total" del contrato inteligente WETH en realidad es igual a la cantidad de tokens acuñados.
También trató de verificar si era posible canjear ETH de WETH en cualquier momento; Tong llamó a esta función "solvencia".
En cuanto al primer punto, el analista reveló que la oferta total no es necesariamente igual a la cantidad de tokens existentes:
Técnicamente hablando, el estándar ERC-20 especifica que totalSupply() debe ser igual al... "suministro total". Lo cual es un poco vago, pero uno supondría que sería el total de fichas existentes
A través de la función de autodestrucción, que rescinde un contrato o transfiere los fondos de cualquier contrato a una dirección específica, los usuarios podrían acuñar tokens WETH sin tener que enviar ETH para envolverlos, concluyó Tong.
¿Es esto realmente peligroso para los usuarios de WETH?
También demostró que el depositante de Ethers (ETH) no necesariamente podrá retirar sus fondos de los contratos inteligentes en ningún momento.
¡Insatisfecho! ¡Ese es el resultado que queremos ver! pic.twitter.com/ls7bhPakY1
— cts (@gf_256) 19 de noviembre.
Como tal, proporcionó dos modelos hipotéticos para demostrar la ausencia de correlación entre el saldo del contrato WETH y la cantidad real de tokens acuñados, así como la "falla de solvencia" que podría afectar el proceso de retiro.
Sin embargo, subrayó que ambas situaciones son hipotéticas y modeladas solo para el experimento. Los errores en la investigación son "menores" e "inofensivos".
Desde su lanzamiento en 2020, Zellic auditó una serie de protocolos DeFi de primer nivel, incluidos 1 pulgada (1 PULGADA), LayerZero y SushiSwap (SUSHI).
Fuente: https://u.today/wrapped-ether-weth-design-bugs-unveiled-by-analyst