Cointime

Cointime

Download App
iOS & Android

Báo cáo phân tích bảo mật chuỗi: Báo cáo phân tích rủi ro tập trung hợp đồng thông minh iZiFinance

Validated Project

iZiFinance là một giao thức tài chính phi tập trung sử dụng zkSync, một giải pháp mở rộng lớp 2 cho Ethereum. zkSync cho phép giao dịch nhanh và chi phí thấp trên Ethereum trong khi vẫn giữ được tính bảo mật và khả năng kết hợp của mạng lớp 1. Tuy nhiên, tối ưu hóa gas vẫn là một khía cạnh quan trọng khi thực hiện phát triển hợp đồng thông minh trên zkSync, vì nó ảnh hưởng đến hiệu suất và lợi nhuận của giao thức.

Trong phân tích này, chúng tôi sẽ kiểm tra một trong những hợp đồng cốt lõi của iZiFinance, iZiSwapPool.sol và tìm ra một cách đơn giản để giảm mức tiêu thụ gas bằng cách loại bỏ biểu thức dư thừa.

hợp đồng iZiSwapPool

Hợp đồng iZiSwapPool thực hiện logic của nhóm thanh khoản và trao đổi mã thông báo trên iZiFinance. Nó tuân theo giao diện IiZiSwapPool, giao diện này xác định các chức năng và sự kiện của hợp đồng. Một trong những chức năng này là modifyFeeChargePercent, cho phép chủ sở hữu hợp đồng điều chỉnh tỷ lệ phần trăm phí tính trên mỗi nhóm. Tỷ lệ phần trăm thu phí là một tham số xác định việc phân phối phí trao đổi giữa các nhà cung cấp thanh khoản và giao thức. Mã của hàm modifyFeeChargePercent như sau:

Hàm này chấp nhận một tham số thuộc loại uint24 được gọi là newFeeChargePercent, đại diện cho tỷ lệ phần trăm tính phí mới sẽ được đặt. Nó cũng có một số công cụ sửa đổi và câu lệnh yêu cầu để đảm bảo rằng chỉ chủ sở hữu mới có thể gọi hàm và newFeeChargePercent là hợp lệ. Phân tích mã Mã hợp đồng này được viết bằng Solidity, đại diện cho chức năng sửa đổi tỷ lệ phần trăm thu phí. Có vẻ như nó đã được thiết kế theo cách an toàn, có tính đến các hạn chế được áp dụng trước khi sửa đổi thực tế (dòng 534-536).

Tuy nhiên, dòng 535 require(newFeeChargePercent >= 0, "FP0"); thực sự không cần thiết. Điều này là do trong Solidity, kiểu dữ liệu uint (unsigned integer) không được âm. uint24 là một loại số nguyên không dấu nằm trong khoảng từ 0 đến 2^24 - 1.

Do đó, việc kiểm tra xem newFeeChargePercent có lớn hơn hoặc bằng 0 hay không là một phép lặp, bởi vì một số nguyên không dấu không thể nhỏ hơn 0 theo định nghĩa. Do đó, dòng này tạo thành một tautology và có thể được gỡ bỏ một cách an toàn mà không ảnh hưởng đến chức năng của mã hoặc tạo ra bất kỳ lỗ hổng bảo mật nào. Dòng ngay sau nó, require(newFeeChargePercent <= 100, "FP0");, đủ để đảm bảo rằng newFeeChargePercent nằm trong phạm vi dự kiến ​​(0-100).

rủi ro tập trung

Chúng tôi cũng đã xác định một số rủi ro tập trung có thể ảnh hưởng đến tính bảo mật của giao thức và tính bảo mật của tài sản người dùng.

rủi ro tập trung

Chúng tôi cũng đã xác định một số rủi ro tập trung có thể ảnh hưởng đến tính bảo mật của giao thức và tính bảo mật của tài sản người dùng.

Lời khuyên an toàn

Đối với nhóm dự án iZiFinance, đây là 10 mẹo an toàn để bảo vệ tài sản trên chuỗi của người dùng khỏi rủi ro tập trung.

  1. Khóa thời gian được áp dụng cho các chức năng chính như setFarm() và setWrapToken(), chỉ cho phép sửa đổi tại một thời điểm xác định trong tương lai, giúp cộng đồng có thời gian thảo luận và đạt được sự đồng thuận
  2. Yêu cầu phê duyệt nhiều chữ ký của nhiều địa chỉ ví để gọi các chức năng như enableFeeAmount() và newPool() ảnh hưởng đến phí và phần thưởng
  3. Triển khai kiểm soát truy cập dựa trên vai trò cho các chức năng như expandObservationQueue() và CollectFeeCharged(), hạn chế chỉ gọi các vai trò được chỉ định
  4. Khi hợp đồng được triển khai, hãy đặt các tham số cốt lõi như startBlock, endBlock, bonusPerBlock không thay đổi và các thay đổi tiếp theo không được phép
  5. Thiết lập cấu trúc quản trị DAO yêu cầu cộng đồng đề xuất và bỏ phiếu cho các cuộc gọi đến các chức năng nhạy cảm
  6. Áp dụng kiến ​​trúc mô-đun để phân tách trách nhiệm và tránh tập trung quá mức vào bất kỳ mô-đun đơn lẻ nào
  7. Thiết lập cơ chế dừng khẩn cấp với xác thực đa chữ ký, có thể tạm dừng thỏa thuận nếu xảy ra sự cố
  8. Thường xuyên tiến hành kiểm toán bảo mật bên ngoài và xử lý các vấn đề được phát hiện kịp thời để giảm rủi ro kiểm soát tập trung
  9. Trong quá trình phát triển, sử dụng fuzzing và các phương pháp khác để xác định và loại bỏ các lỗ hổng kiểm soát tập trung
  10. Tuân thủ nguyên tắc đặc quyền tối thiểu và chỉ cấp cho vai trò và tài khoản những quyền tối thiểu cần thiết

Những rủi ro tập trung hóa này xuất phát từ thực tế là chủ sở hữu hợp đồng có thể có quyền kiểm soát quá mức đối với các tham số và chức năng của hợp đồng, điều này có thể cho phép chủ sở hữu thao túng giao thức hoặc gây hại cho người dùng. Chúng tôi cũng hy vọng phân tích này có thể cung cấp một số hiểu biết hữu ích và đề xuất bảo mật để cải thiện hợp đồng thông minh của iZiFinance.

Theo chúng tôi

Twitter: @MetaTrustLabs

Trang web: metatrust.io

hợp đồng thông minh Ethereum
Các bình luận

Tất cả bình luận

Recommended for you

  • Bản tin tối ngày 4 tháng 7

    1. BTC giảm xuống dưới 57.000 USD

  • Giao thức QED ra mắt lớp thực thi gốc zk trên Bitcoin, nhận được 6 triệu đô la tài chính

    QED Protocol lớp điều hành gốc zk có trụ sở tại Hồng Kông đã nhận được 6 triệu đô la tài trợ, dẫn đầu bởi Blockchain Capital. Công ty có kế hoạch sử dụng nguồn vốn này để mở rộng hoạt động và nỗ lực phát triển. Được thành lập bởi Carter Feldman, QED là lớp thực thi gốc của Bitcoin được thiết kế để giải quyết các thách thức trong quá trình phát triển Web3. Nền tảng của nó được thiết kế để trao quyền cho các nhà phát triển và người dùng, hỗ trợ các ứng dụng từ DeFi đến NFT. Ngoài ra, bằng cách sử dụng kiến ​​trúc đột phá bằng cách sử dụng các bằng chứng không có kiến ​​thức đệ quy nhanh và mô hình trạng thái PARTH, nó hoàn toàn vượt qua sự đánh đổi về khả năng mở rộng và bảo mật truyền thống, cho phép các ứng dụng Web3 quy mô cực lớn như trao đổi sổ đặt hàng cũng như các ứng dụng Quy mô Web2 và trò chơi. Công ty đã huy động được hơn 10 triệu đô la và đầu năm nay đã đảm bảo được vòng hạt giống trị giá 3,25 triệu đô la do Arrington Capital dẫn đầu, bao gồm Starkware, Draper Dragon, Blockchain Builders Fund, UTXO, Lbank Labs, Paper Ventures, Valhalla Capital, Edessa Capital và Anagram Ltd. nhà đầu tư nổi tiếng khác.

  • MMO Swords & Dungeons theo lượt giống như giả tưởng trên Web3 đã hoàn thành khoản tài trợ trị giá 5 triệu đô la Mỹ, với sự tham gia của Mirana, OKX Ventures và những người khác

    MMORPG Swords & Dungeons đa chuỗi Web3 đã công bố hoàn thành khoản tài trợ trị giá 5 triệu đô la Mỹ. Vòng tài trợ này được tài trợ bởi Mirana Ventures, Qiming Venture Partners, OKX Ventures, Y2Z Ventures, Matrix Partners, Folius Ventures, Mask Network, SNZ Capital, Arkstream Capital, Cloud Nine Capital, Primal Capital, Welight Capital và Bas1s Ventures cùng các tổ chức đầu tư khác đã tham gia đầu tư. Ngoài ra, Swords & Dungeons sẽ kết thúc phiên bản beta nội bộ của trò chơi thứ hai vào ngày 19 tháng 7. Trong phiên bản beta nội bộ, 5 triệu mã thông báo VÀNG sẽ được phát hành cho cộng đồng dưới dạng khuyến khích thử nghiệm và tất cả tiền gửi của người chơi trong thời gian thử nghiệm sẽ được chuyển đổi thành mã thông báo IDO Cổ phiếu, chiết khấu NFT hoặc toàn bộ USDT sẽ được trả lại cho những người chơi sớm dưới nhiều hình thức khác nhau.

  • Trò chơi chuỗi Swords & Dungeons hoàn thành khoản tài trợ 5 triệu USD

    MMORPG Swords & Dungeons đa chuỗi Web3 đã công bố hoàn thành khoản tài trợ trị giá 5 triệu đô la Mỹ. Vòng tài trợ này được tài trợ bởi Mirana Ventures, Qiming Venture Partners, OKX Ventures, Y2Z Ventures, Matrix Partners, Folius Ventures, Mask Network, SNZ Capital, Arkstream Capital và Cloud Nine Capital, Primal Capital, Welight Capital và Bas1s Ventures cùng các tổ chức đầu tư nổi tiếng khác đã tham gia đầu tư.

  • Bloomberg: Áp lực bán từ Mt. Gox, chính phủ và các công ty khai thác khiến Bitcoin giảm giá, trong khi những thay đổi chính sách tiềm năng của Cục Dự trữ Liên bang sẽ đảo ngược tâm lý thị trường

    Theo tin tức ngày 4 tháng 7, liên quan đến đợt suy giảm mới của thị trường, Richard Galvin, đồng sáng lập quỹ phòng hộ Digital Asset Capital Management, cho biết: “Một yếu tố là một ứng cử viên Đảng Dân chủ mạnh hơn có thể thay thế Biden và ông ấy có thể không ủng hộ tiền điện tử. “Trong ngắn hạn, nguyên nhân lớn hơn dẫn đến sự yếu kém của Bitcoin là áp lực bán từ Mt. Gox và hành vi bán của các địa chỉ chính phủ”. áp lực bán từ các thợ mỏ." "Tuy nhiên, tâm lý trên thị trường tiền điện tử có thể thay đổi nhanh chóng nếu dữ liệu kinh tế yếu kém của Hoa Kỳ thúc đẩy đặt cược vào chính sách tiền tệ nới lỏng của Cục Dự trữ Liên bang và việc phê duyệt niêm yết ETF giao ngay Ethereum cũng có thể thúc đẩy tâm lý thị trường. Những diễn giải về diễn biến chính trị của Hoa Kỳ cũng có thể thay đổi. Matt Hougan, giám đốc đầu tư của Bitwise Asset Management, tin rằng việc thay thế các ứng cử viên Đảng Dân chủ tiềm năng “có nhiều khả năng ở vị trí tốt hơn để giải quyết các vấn đề về tiền điện tử”. Ông cho biết thái độ của chính phủ đối với tài sản kỹ thuật số nhìn chung đã được cải thiện trong năm qua.

  • Nhà phân tích: BTC giảm xuống dưới ngưỡng kháng cự 60.000 USD là rất đáng kể

    Rachael Lucas, nhà phân tích tiền điện tử tại sàn giao dịch BTC Markets của Úc, cho biết việc BTC giảm xuống dưới ngưỡng kháng cự 60.000 USD là rất có ý nghĩa vì nó đánh dấu rào cản tâm lý đối với nhiều nhà đầu tư. Nếu Bitcoin vẫn ở dưới mức này, chúng ta có thể thấy sự biến động gia tăng trong ngắn hạn. Phần lớn sự biến động gần đây của tiền điện tử được cho là do khoản thanh toán sắp xảy ra cho các chủ nợ của sàn giao dịch tiền điện tử bị phá sản Mt. Số tiền hoàn trả lớn bằng Bitcoin sẽ mang lại “áp lực bán rất lớn” cho thị trường khi Bitcoin hấp thụ nguồn cung bổ sung.

  • SEC Hoa Kỳ yêu cầu thẩm phán bác bỏ vụ kiện do Quỹ Giáo dục DeFi và công ty quần áo Beba của Texas đệ trình chống lại họ

    Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã yêu cầu thẩm phán bác bỏ vụ kiện từ một công ty may mặc của Mỹ đã tìm cách tránh phải đối mặt với hành động pháp lý tiềm ẩn đối với chiến dịch airdrop trong quá khứ, Cointelegraph đưa tin. Vào ngày 3 tháng 7, SEC Hoa Kỳ đã đệ trình văn bản yêu cầu bác bỏ vụ kiện do Beba và Quỹ Giáo dục Tài chính Phi tập trung (Quỹ Giáo dục DeFi, gọi tắt là DEF) đệ trình vào ngày 25 tháng 3. Vụ kiện yêu cầu thẩm phán Tòa án quận Waco ra phán quyết rằng mã thông báo cùng tên do công ty Beba phát hành không phải là chứng khoán. Tuy nhiên, SEC coi vụ kiện là chính sách "quá sớm và dựa trên ảo tưởng".

  • Việc nắm giữ Bitcoin của MicroStrategy hiện có lợi nhuận thả nổi khoảng 5 tỷ USD

    Khi giá Bitcoin giảm xuống dưới 58.000 USD trong một thời gian ngắn và hiện được niêm yết ở mức 58.940 USD, lợi nhuận thả nổi của MicroStrategy trên các vị thế Bitcoin đã giảm trở lại mức 5,011 tỷ USD. Tính đến ngày 20 tháng 6 năm 2024, MicroStrategy nắm giữ 226.331 BTC, với mức giá trung bình là 36.798 USD mỗi Bitcoin và giá trị khoảng 8,33 tỷ USD. Vào ngày 21 tháng 5, vị thế Bitcoin của MicroStrategy từng có khoản lãi thả nổi là 7,734 tỷ USD.

  • Cơ quan tiền tệ Hàn Quốc đã hoàn thành việc xây dựng hệ thống giám sát thường trực đối với các giao dịch bất thường trên sàn giao dịch tài sản ảo

    Theo tin tức ngày 4 tháng 7, khi “Đạo luật bảo vệ người dùng tài sản ảo” có hiệu lực vào tháng 7, các cơ quan tài chính của Hàn Quốc đã thông báo rằng họ sẽ hợp tác với các sàn giao dịch tài sản ảo để phát triển “Nguyên tắc giám sát giao dịch bất thường liên tục”. Cơ quan tiền tệ Hồng Kông đã thiết lập một tiêu chuẩn bảng dữ liệu giao dịch thống nhất có thể phát hiện các giao dịch bất thường và nhiều sàn giao dịch khác nhau cũng đã thiết lập hệ thống máy tính. Các hạng mục tích lũy thông tin giao dịch mới được bổ sung chính bao gồm thông tin thị trường và thông tin truyền thông ủy thác giao dịch. Ngoài ra, một hệ thống báo cáo đã được thiết lập giữa Cơ quan giám sát tài chính và các sàn giao dịch. Sàn giao dịch có kế hoạch phát hiện những nghi ngờ về giao dịch không công bằng bằng cách phân tích dữ liệu bán hàng, thông tin mở tài khoản, thông tin phương tiện đặt hàng cũng như thông tin gửi và rút tiền sau khi phát hiện các giao dịch bất thường thông qua hệ thống giám sát thường xuyên của mình.

  • Cảnh sát Lan Châu triệt phá băng nhóm tội phạm lừa đảo tiền ảo và rửa tiền, bắt giữ 15 nghi phạm

    Theo báo cáo ngày 4/7, theo Lanzhou Daily, Chi nhánh Anning của Cục Công an thành phố Lan Châu mới đây đã theo dõi và phát động các hoạt động trên khắp các tỉnh, đồng thời triệt phá một băng nhóm tội phạm sử dụng gian lận tiền ảo và rửa tiền trên toàn chuỗi, đồng thời bắt giữ. 15 nghi phạm, tung tin 15 vụ. Trong một vụ án, nạn nhân là cô Liao đã gặp "bạn trai" sĩ quan quân đội của mình trên mạng. Đối mặt với yêu cầu đầu tư để mở tài khoản thay cho anh ta và sự cám dỗ của lợi nhuận cao, cô Liao đã chuyển một khoản "phí mở tài khoản" lên tới 100%. 150.000 nhân dân tệ vào tài khoản của bạn cô ấy. Sau khi "bạn trai" liên tục khoe mình kiếm được bao nhiêu tiền từ tài khoản do bạn bè quản lý, cô Liao đã rút 1 triệu nhân dân tệ vào ngày 1 tháng 5 và chuyển đổi thành U coin để đầu tư, sau đó thêm 100 triệu nhân dân tệ khác vào ngày 3 tháng 5. Mười nghìn nhân dân tệ, nhưng sau đó phát hiện ra số tiền đó không thể chuyển ra ngoài được. Sau khi điều tra sơ bộ, vụ việc được xác định là một loại lừa đảo mạng viễn thông mới. Nhóm lừa đảo đã liên hệ với các nạn nhân tiềm năng thông qua các nền tảng xã hội, trang web hẹn hò và các kênh khác để thiết lập lòng tin, sau đó sử dụng cảm xúc, cám dỗ đầu tư và các phương tiện khác để lôi kéo. nạn nhân phạm tội tại địa điểm được chỉ định. Đăng ký trên nền tảng kỹ thuật số ảo và nạp tiền bằng tiền ảo. Theo cảnh sát xử lý vụ việc, nhóm lừa đảo đã rửa số U coin nhận được thông qua các giao dịch trên nền tảng tiền ảo và chuyển đổi chúng thành các dạng tiền hoặc tiền tệ khác. Quá trình này có thể liên quan đến nhiều tài khoản và nền tảng giao dịch để che giấu dòng tiền và trốn tránh cảnh sát. theo dõi. Hiện tại, vụ việc vẫn đang được điều tra.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty