Uniswap V3给合约审计带来的新挑战

作者 | Fairyproof TechCEO谭粤飞,美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责半导体设备程序的开发、负责与公司关键客户---台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学 《区块链概论》 课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事,拥有4项区块链相关专利四项。

万众期待的Uniswap V3终于面世了,它的白皮书(https://uniswap.org/whitepaper-v3.pdf)及相关源代码(https://github.com/Uniswap/uniswap-v3-core/tree/main/contracts)已经向业界全面公开。

Web3游戏资产投资组合管理平台Souq G-Commerce完成330万美元融资:6 月 3 日消息,Web3 游戏资产投资组合管理平台 Souq G-Commerce 宣布完成 330 万美元 pre-seed 轮融资,本轮融资由 Kickstart、IVC、Operate、Moon Holdings、Ellipti Ventures、Perpetual Value Partners、Himanshu Sahay & Partners、Sterling VC、Evernew Capital、BBQ Capital 等参投。

Souq G-Commerce 构建的产品可以管理和跟踪区块链游戏资产,目前能为市场上主流区块链上的玩家和游戏提供支持。据悉,Souq 将开发用于发现和监控 Web3 游戏资产组合的技术,包括建立专注于游戏经济的金融市场等。[2022/6/3 4:00:08]

这两天各个专业人士发表了对V3的看法,这些看法主要集中在V3所具备的新特点、带来的新体验。作为在安全领域从业的我们则更加关注V3对合约审计尤其是去中心化交易所合约审计带来的新挑战。

瑞士央行官员:将于明年决定是否发行批发型央行数字货币:瑞士央行官员Moser表示,瑞士央行委员会将于明年决定是否发行批发型央行数字货币(仅针对金融机构),但不会发行零售型央行数字货币(针对大众),因其好处无法掩盖成本和风险。(金十)[2020/8/19]

V3的问世毫无疑问将掀起新一轮DEX的升级大潮,因为它在资金效率、费用消耗、预言机优化等方面所作的改进将再次成为现有项目模仿的范本,也将成为众多正在DEX赛道上创业团队参照的蓝本。

我们相信一批新的DEX合约会用到V3的实现方式,而这些新的DEX合约可能产生安全问题的源头在以下两方面:?

1.由于V3引入了新的代码许可协议,因此在商业方面将使得一些项目想直接照抄,拷贝变得有所顾忌,而不得不模仿它的实现方式,改写它的源代码。一旦改写代码就会给合约审计带来挑战。

2.在整体安全性上Uniswap的合约还是相当不错的,这其中最重要的一个原因就是它的代码简洁、功能删繁就简。而V3在一系列细节上进行了修改,这在功能及性能上比V2有了极大提高,但在安全性方面就增加了复杂度。如果模仿团队对这些改动不求甚解、完全照搬、甚至和以前的实现方式混用则会引入潜在的风险。

那么具体V3在哪些方面对准备借鉴、参考它实现方式的团队带来了安全性方面的挑战呢?

我们认为有以下四大方面:

一、交易对由单个流动性池变为多个流动性池

V3的这个做法是为了提高资金效率,让用流动性提供者将资金存入到交易量最大的价格区间。然而这就导致流动性池由单个变为多个。那么交易过程就会涉及到交易在多个资金池之间的切换,就会涉及到复杂的合约交互。

此外,每个流动性池现在可以设置不同的费率,这其中的计算逻辑就会比单一流动性池要复杂,这其中稍有不慎就会涉及到逻辑实现和计算过程的错误。

二、LP代币由同质(ERC-20)通证变为非同质通证

在V2中,流动性池的代币都被设计为同质通证,而在V3,它被设计为非同质通证。为了因应这个变化,V3中累积的费用会存在另外的池子中。但凡多了资金池,就多了被黑客攻击的对象、就多了风险隐患,因此对这类新增加的资金池在安全方面的保障和维护就成为团队必须要考虑的问题。

三、 UNI治理权可以转交给其它地址

本质上这种方式如果使用得当、管理周全倒也不会对系统造成严重的风险。但权力是“固定”的、人却是“灵活”的。如果这个治理权被转移到不当地址(比如非DAO社区、非多签钱包等)则后患无穷。

四、预言机的优化

V3对预言机进行了大胆的优化:其最重大的变化在我们看来就是价格计算方式的变化以及由计算方式带来的一系列实现方式、流程逻辑的变化。

V3将价格的计算由算术平均值(arithmetic mean)变为几何平均值(geometric mean)。用通俗的话说就是由加法运算变为对数运算。理论上,这极大拓展了价格的覆盖区间,使得传统上利用外在因素在极短时间引发价格剧烈波动从而操控交易的方式进一步失效。

但“福兮祸也”,这会不会在看上去一片大好的情况下引发新的问题?现在还不得而知,只能有待时间来证明。

此外,在V3白皮书中提到,这种方式让其它合约调用预言机时能从某个交易对的多个流动性池中得到更可靠的数据。对此我们的担心在于,如果某个池子被攻击时,这个预言机所报的数据会不会不仅无效,而且误差被更加放大?

对此,我们依然建议项目方在处理预言机喂价方面要谨慎又谨慎,尽量从多个数据源取数据,而不要依赖单一数据源,无论这个单一的数据源在理论计算上看上去多么美好、多么健壮。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

SOL24项举措加快培育新型消费 涉及数字人民币等热点

国家发展改革委等28个部门昨日联合发布《加快培育新型消费实施方案》(简称《实施方案》),提出培育壮大零售新业态、加强新一代信息基础设施建设、加强金融支持、引导社会资本融资、降低平台交易和支付成本等方面24项措施,鼓励消费新业态新模式发展。

XLM比特币价格达到多少 中本聪将成为世界首富?

如果比特币价格达到18.2万美元,中本聪可能会成为这个星球上最富有的人。 据估计,如果比特币的价格达到18.2万美元左右,比特币的创始人中本聪将成为全球首富。 截至2021年3月,亚马逊创始人杰夫·贝佐斯是世界上最富有的人,净资产为1816亿美元。 特斯拉首席执行官埃隆·马斯克以1637亿美元紧随其后,拥有这家电动汽车制造商20%以上的股份。

BTC比特币的“罪与罚”:所涉刑事案中盗窃罪过半

犯罪又现新手段。近日,最高人民检察院、中国人民银行联合发布6起惩治犯罪典型案例。其中一起利用比特币跨境案,更是引起业内广泛关注。央行在发布此案时称,利用虚拟币跨境兑换,将犯罪所得及收益转换成境外法定货币或财产,是犯罪的新手段。 一边是比特币的“罪与罚”,另一边却是比特币价格的不断飙升。

TUSD占机构交易额81%的灰度比特币基金 折价成交会对市场产生哪些影响?

机构投资者入局比特币一直是颠覆加密行业格局的大事。比特币上次减半是在一年前,在那之后,机构投资者的资金购买的比特币数量超过了矿工们生产的数量。比特币最近几个月走出势头强劲行情的所有原因中,机构需求位居榜首。 自 2020 年 5 月 12 日比特币上次减半以来,矿工们共挖出了 309,557 个比特币,而机构投资者共买进了 380,644 个比特币。

[0:15ms0-8:790ms