Nuevos desafíos que trae Uniswap V3 para contratar auditoría

Autor | CEO de Fairyproof Tech Tan Yuefei, Máster en Ingeniería Industrial (Master) de Virginia Tech, Blacksburg, VA, EE. UU. Solía ​​ser ingeniero de software de AIBT Inc (San José, CA, EE. UU.), una empresa de semiconductores de Silicon Valley en los Estados Unidos, responsable del desarrollo de programas de equipos de semiconductores y responsable del acoplamiento técnico integral y la comunicación con el equipo de la empresa. cliente clave: TSMC. Desde 2011, se ha dedicado a la investigación de tecnología integrada, de Internet y de cadena de bloques, profesor del curso "Introducción a la cadena de bloques" de la Universidad de Shenzhen, investigador visitante del Centro de Inteligencia y Cadena de Bloques de la Universidad Sun Yat-sen y director ejecutivo de Guangdong Financial. Asociación de Investigación de Innovación Tiene 4 Cuatro patentes relacionadas con blockchain.

El tan esperado Uniswap V3 finalmente está disponible, su libro blanco (https://uniswap.org/whitepaper-v3.pdf) y el código fuente relacionado (https://github.com/Uniswap/uniswap-v3-core/tree / main/contracts) se ha divulgado completamente a la industria.

Datos: La liquidez de USDC en Uniswap cayó a alrededor de $1,08, un mínimo de dos años: Jinse Finance informó que los datos mostraron que la liquidez de USDC en Uniswap cayó a $108.028.195,14, un mínimo de dos años.

El mínimo de dos años anterior de $ 111,580,107.07 se observó el 21 de octubre de 2022. [2022/10/28 11:51:43]

En los últimos dos días, varios profesionales han expresado sus puntos de vista sobre V3, y estos puntos de vista se centran principalmente en las nuevas funciones y la nueva experiencia que ofrece V3. Como profesionales en el campo de la seguridad, prestamos más atención a los nuevos desafíos que trae V3 para las auditorías de contratos, especialmente las auditorías de contratos de intercambio descentralizados.

La llegada de V3, sin duda, desencadenará una nueva ola de actualizaciones de DEX, porque sus mejoras en términos de eficiencia de capital, consumo de costos y optimización de Oracle volverán a convertirse en un modelo a imitar para los proyectos existentes, y también se convertirá en un modelo para muchos. competencias DEX actuales El modelo para el equipo emprendedor en el camino para referirse.

UNI cayó por debajo de la marca de $ 21 con un aumento intradiario del 1,27 %: según datos de Huobi Global, UNI cayó a corto plazo y cayó por debajo de la marca de $ 21. Ahora se reporta en $ 20,9998, con un aumento intradiario del 1,27 %. fluctúa mucho, por favor haga un buen trabajo en el control de riesgos. [2021/2/18 17:27:33]

Creemos que un lote de nuevos contratos DEX utilizará la implementación V3, y estos nuevos contratos DEX pueden causar problemas de seguridad en los siguientes dos aspectos:

1. Dado que V3 introduce un nuevo acuerdo de licencia de código, algunos proyectos tendrán que imitar su implementación y reescribir su código fuente en términos comerciales. Una vez que se reescriba el código, traerá desafíos para la auditoría de contratos.

HBTC Exchange lanzará contratos perpetuos UNIUSDT, SUSHIUSDT e YFIUSDT el 11 de enero: Según el anuncio oficial de HBTC HBTC, la sección de contratos perpetuos HBTC USDT se lanzará a las 16:00 el 11 de enero (UTC+8) UNIUSDT, SUSHIUSDT y YFIUSDT contratos perpetuos. Se admite un apalancamiento de hasta 50 veces.

En la actualidad, la sección de contrato perpetuo HBTC USDT ha cubierto más de diez monedas principales como BTC, ETH, DOT, etc., y admite un apalancamiento de hasta 100 veces, lo que puede satisfacer de manera eficiente las necesidades de transacción de los usuarios y proporcionar un contrato profesional y seguro. servicios de transacciones. [2021/1/8 16:44:13]

2. En términos de seguridad general, el contrato de Uniswap es bastante bueno, una de las razones más importantes es que su código es conciso y sus funciones simplificadas. V3 se ha modificado en una serie de detalles, lo que ha mejorado mucho la función y el rendimiento en comparación con V2, pero ha aumentado la complejidad en términos de seguridad. Se introducirán riesgos potenciales si el equipo de imitación no comprende estos cambios, los copia por completo o incluso los mezcla con implementaciones anteriores.

El volumen comercial promedio de Uniswap en las últimas dos semanas superó los mil millones de dólares estadounidenses: según los informes del 26 de agosto, los datos muestran que el valor total actual de los tokens líquidos actuales de la plataforma comercial descentralizada Uniswap es de aproximadamente 288 millones de dólares estadounidenses. , que es un aumento significativo desde principios de junio (alrededor de 20 millones de dólares estadounidenses) Crecimiento, un aumento del 1340%. El volumen de negociación de Uniswap también mostró un crecimiento explosivo. En las últimas dos semanas, el volumen promedio de transacciones de la plataforma superó los mil millones de dólares estadounidenses, y el volumen de transacciones en una sola semana supera la suma del volumen de transacciones en las tres semanas de julio. [2020/8/26]

Entonces, ¿en qué aspectos V3 trae desafíos de seguridad al equipo que está listo para aprender y referirse a su implementación?

Creemos que hay cuatro áreas principales:

1. El par comercial ha cambiado de un solo grupo de liquidez a múltiples grupos de liquidez

Este método de V3 es para mejorar la eficiencia de los fondos y permitir que los proveedores de liquidez depositen fondos en el rango de precios con el mayor volumen de transacciones. Sin embargo, esto hace que el grupo de liquidez cambie de uno a uno múltiple. Entonces, el proceso de transacción implicará el cambio de transacciones entre múltiples fondos comunes, e implicará interacciones contractuales complejas.

Además, ahora cada pool de liquidez puede establecer tasas diferentes, y la lógica de cálculo en este será más complicada que la de un solo pool de liquidez, un pequeño descuido implicará errores en la implementación de la lógica y el proceso de cálculo.

2. Los tokens LP cambiaron de tokens homogéneos (ERC-20) a tokens no homogéneos

En V2, los tokens del fondo de liquidez están diseñados como tokens homogéneos, mientras que en V3, está diseñado como tokens no homogéneos. Para hacer frente a este cambio, las tarifas acumuladas en V3 se almacenarán en otro grupo. Cada vez que haya más grupos de fondos, habrá más objetivos para ser atacados por piratas informáticos y habrá más riesgos ocultos. Por lo tanto, la seguridad y el mantenimiento de este grupo de fondos recién agregado se ha convertido en un problema que el equipo debe considerar.

3. Los derechos de gobernanza de UNI pueden transferirse a otras direcciones

En esencia, si este método se utiliza correctamente y se gestiona a fondo, no causará riesgos graves para el sistema. Pero el poder es "fijo", pero la gente es "flexible". Si este derecho de gobierno se transfiere a una dirección incorrecta (como una comunidad sin DAO, una billetera sin firmas múltiples, etc.), habrá un sinfín de problemas.

4. Optimización de Oracle Machine

V3 ha optimizado audazmente el oráculo: el cambio más significativo en nuestra opinión es el cambio en el método de cálculo del precio y una serie de cambios en el método de implementación y la lógica del proceso provocados por el método de cálculo.

V3 cambia el cálculo del precio de la media aritmética a la media geométrica. En términos sencillos, es de una operación de suma a una operación logarítmica. En teoría, esto amplía enormemente el rango de cobertura de precios, lo que hace que la forma tradicional de utilizar factores externos para desencadenar fluctuaciones violentas de precios en un período de tiempo muy corto para manipular transacciones sea aún más ineficaz.

Pero "bendición y desgracia", ¿provocará esto nuevos problemas cuando todo parece ir bien? Todavía es una incógnita, solo el tiempo lo dirá.

Además, como se menciona en el documento técnico de V3, este método permite que otros contratos obtengan datos más confiables de múltiples fondos de liquidez de un determinado par comercial al llamar al oráculo. Nuestra preocupación sobre esto es que si se ataca un cierto grupo, ¿los datos informados por la máquina Oracle no solo serán inválidos, sino que el error se amplificará aún más?

En este sentido, aún recomendamos que la parte del proyecto sea cautelosa y cautelosa al tratar con la fuente de precios de la máquina Oracle, y trate de obtener datos de múltiples fuentes de datos en lugar de confiar en una sola fuente de datos, sin importar qué tan bueno sea el única fuente de datos se ve en los cálculos teóricos, ¿Qué tan robusto.

Tags：

TUSD