Cointime

Cointime

Download App
iOS & Android

Báo cáo phân tích bảo mật chuỗi: Báo cáo phân tích rủi ro tập trung hợp đồng thông minh iZiFinance

Validated Project

iZiFinance là một giao thức tài chính phi tập trung sử dụng zkSync, một giải pháp mở rộng lớp 2 cho Ethereum. zkSync cho phép giao dịch nhanh và chi phí thấp trên Ethereum trong khi vẫn giữ được tính bảo mật và khả năng kết hợp của mạng lớp 1. Tuy nhiên, tối ưu hóa gas vẫn là một khía cạnh quan trọng khi thực hiện phát triển hợp đồng thông minh trên zkSync, vì nó ảnh hưởng đến hiệu suất và lợi nhuận của giao thức.

Trong phân tích này, chúng tôi sẽ kiểm tra một trong những hợp đồng cốt lõi của iZiFinance, iZiSwapPool.sol và tìm ra một cách đơn giản để giảm mức tiêu thụ gas bằng cách loại bỏ biểu thức dư thừa.

hợp đồng iZiSwapPool

Hợp đồng iZiSwapPool thực hiện logic của nhóm thanh khoản và trao đổi mã thông báo trên iZiFinance. Nó tuân theo giao diện IiZiSwapPool, giao diện này xác định các chức năng và sự kiện của hợp đồng. Một trong những chức năng này là modifyFeeChargePercent, cho phép chủ sở hữu hợp đồng điều chỉnh tỷ lệ phần trăm phí tính trên mỗi nhóm. Tỷ lệ phần trăm thu phí là một tham số xác định việc phân phối phí trao đổi giữa các nhà cung cấp thanh khoản và giao thức. Mã của hàm modifyFeeChargePercent như sau:

Hàm này chấp nhận một tham số thuộc loại uint24 được gọi là newFeeChargePercent, đại diện cho tỷ lệ phần trăm tính phí mới sẽ được đặt. Nó cũng có một số công cụ sửa đổi và câu lệnh yêu cầu để đảm bảo rằng chỉ chủ sở hữu mới có thể gọi hàm và newFeeChargePercent là hợp lệ. Phân tích mã Mã hợp đồng này được viết bằng Solidity, đại diện cho chức năng sửa đổi tỷ lệ phần trăm thu phí. Có vẻ như nó đã được thiết kế theo cách an toàn, có tính đến các hạn chế được áp dụng trước khi sửa đổi thực tế (dòng 534-536).

Tuy nhiên, dòng 535 require(newFeeChargePercent >= 0, "FP0"); thực sự không cần thiết. Điều này là do trong Solidity, kiểu dữ liệu uint (unsigned integer) không được âm. uint24 là một loại số nguyên không dấu nằm trong khoảng từ 0 đến 2^24 - 1.

Do đó, việc kiểm tra xem newFeeChargePercent có lớn hơn hoặc bằng 0 hay không là một phép lặp, bởi vì một số nguyên không dấu không thể nhỏ hơn 0 theo định nghĩa. Do đó, dòng này tạo thành một tautology và có thể được gỡ bỏ một cách an toàn mà không ảnh hưởng đến chức năng của mã hoặc tạo ra bất kỳ lỗ hổng bảo mật nào. Dòng ngay sau nó, require(newFeeChargePercent <= 100, "FP0");, đủ để đảm bảo rằng newFeeChargePercent nằm trong phạm vi dự kiến ​​(0-100).

rủi ro tập trung

Chúng tôi cũng đã xác định một số rủi ro tập trung có thể ảnh hưởng đến tính bảo mật của giao thức và tính bảo mật của tài sản người dùng.

rủi ro tập trung

Chúng tôi cũng đã xác định một số rủi ro tập trung có thể ảnh hưởng đến tính bảo mật của giao thức và tính bảo mật của tài sản người dùng.

Lời khuyên an toàn

Đối với nhóm dự án iZiFinance, đây là 10 mẹo an toàn để bảo vệ tài sản trên chuỗi của người dùng khỏi rủi ro tập trung.

  1. Khóa thời gian được áp dụng cho các chức năng chính như setFarm() và setWrapToken(), chỉ cho phép sửa đổi tại một thời điểm xác định trong tương lai, giúp cộng đồng có thời gian thảo luận và đạt được sự đồng thuận
  2. Yêu cầu phê duyệt nhiều chữ ký của nhiều địa chỉ ví để gọi các chức năng như enableFeeAmount() và newPool() ảnh hưởng đến phí và phần thưởng
  3. Triển khai kiểm soát truy cập dựa trên vai trò cho các chức năng như expandObservationQueue() và CollectFeeCharged(), hạn chế chỉ gọi các vai trò được chỉ định
  4. Khi hợp đồng được triển khai, hãy đặt các tham số cốt lõi như startBlock, endBlock, bonusPerBlock không thay đổi và các thay đổi tiếp theo không được phép
  5. Thiết lập cấu trúc quản trị DAO yêu cầu cộng đồng đề xuất và bỏ phiếu cho các cuộc gọi đến các chức năng nhạy cảm
  6. Áp dụng kiến ​​trúc mô-đun để phân tách trách nhiệm và tránh tập trung quá mức vào bất kỳ mô-đun đơn lẻ nào
  7. Thiết lập cơ chế dừng khẩn cấp với xác thực đa chữ ký, có thể tạm dừng thỏa thuận nếu xảy ra sự cố
  8. Thường xuyên tiến hành kiểm toán bảo mật bên ngoài và xử lý các vấn đề được phát hiện kịp thời để giảm rủi ro kiểm soát tập trung
  9. Trong quá trình phát triển, sử dụng fuzzing và các phương pháp khác để xác định và loại bỏ các lỗ hổng kiểm soát tập trung
  10. Tuân thủ nguyên tắc đặc quyền tối thiểu và chỉ cấp cho vai trò và tài khoản những quyền tối thiểu cần thiết

Những rủi ro tập trung hóa này xuất phát từ thực tế là chủ sở hữu hợp đồng có thể có quyền kiểm soát quá mức đối với các tham số và chức năng của hợp đồng, điều này có thể cho phép chủ sở hữu thao túng giao thức hoặc gây hại cho người dùng. Chúng tôi cũng hy vọng phân tích này có thể cung cấp một số hiểu biết hữu ích và đề xuất bảo mật để cải thiện hợp đồng thông minh của iZiFinance.

Theo chúng tôi

Twitter: @MetaTrustLabs

Trang web: metatrust.io

hợp đồng thông minh Ethereum
Các bình luận

Tất cả bình luận

Recommended for you

  • Trưởng bộ phận Chiến lược tài sản kỹ thuật số tại Fundstrat: Phí bảo hiểm kim chi hiện tại là khoảng 0%, điều này có thể cho thấy BTC vẫn còn dư địa để tăng

    Sean, Trưởng phòng Chiến lược tài sản kỹ thuật số tại Fundstra Farrell cho biết trong lưu ý khách hàng mới nhất của mình rằng "bạn bè và gia đình" đang bắt đầu hỏi lại về tiền điện tử và dựa trên các chỉ số thị trường có thể định lượng, tình hình hiện tại dường như không giống như bong bóng như cuộc biểu tình tháng 3 hay đỉnh chu kỳ cuối năm 2021, chẳng hạn như Dữ liệu chỉ số giá trị kimchi cao cấp hiện tại ở thị trường Hàn Quốc là khoảng 0%, cho thấy sự thiếu hào hứng quá mức của các thương nhân Hàn Quốc. Thông thường nếu thị trường đạt đỉnh, giá trị kim chi cao cấp sẽ tăng lên hơn 10% và mức tăng giá sẽ tăng lên. Tuần vừa qua không nên được coi là sự thịnh vượng tình dục thuần túy, Bitcoin có thể vẫn còn chỗ để tăng giá.

  • Solana Lianchuang nói Solana luôn nhanh hơn ZK, CEO Matter Labs bác bỏ

    Người đồng sáng lập Solana toly đã trả lời cư dân mạng tại Replyed: "ZK luôn tốt hơn Solana Nhanh hơn vì nó được bảo mật bằng toán học thay vì trình xác thực, nghĩa là một hoặc một vài trình xác thực (để dự phòng) là đủ và bạn không cần phải chờ sự đồng thuận giữa hàng nghìn nút.”

  • Đại diện Hoa Kỳ Mike Flood: Mong được làm việc với Chủ tịch SEC tiếp theo để thu hồi chính sách chống ngân hàng tiền điện tử SAB 121

    Đại diện Mike Flood của Hạ viện Hoa Kỳ gần đây cho biết: "Bất chấp sự phản đối rộng rãi, SAB 121 vẫn tiếp tục hoạt động hiệu quả như một đạo luật mặc dù nó chưa bao giờ trải qua quy trình Đạo luật Thủ tục Hành chính thông thường". ông hợp tác với Chủ tịch SEC tiếp theo để hủy bỏ SAB 121. Cho dù Chủ tịch Gary Gensler tự mình từ chức hay Tổng thống Trump thực hiện đúng lời hứa của mình (sa thải Gensler), chính quyền mới có cơ hội tuyệt vời để mở ra một kỷ nguyên mới sau Gensler rời văn phòng." Nó nói thêm: “Không có gì ngạc nhiên khi Gensler phản đối khuôn khổ quản lý tài sản kỹ thuật số đã được Hạ viện thông qua trên cơ sở lưỡng đảng vào đầu năm nay. 71 đảng viên Đảng Dân chủ đã cùng với Đảng Cộng hòa tại Hạ viện thông qua khuôn khổ thông thường này. chấp nhận nó, nhưng nó đại diện cho một thời điểm đột phá đối với tiền điện tử và có thể thông báo về công việc của một chính quyền thống nhất của Đảng Cộng hòa khi Quốc hội tiếp theo bắt đầu vào tháng 1 tới.”

  • Tỷ phú Ấn Độ Adani bị SEC Hoa Kỳ triệu tập để giải thích quan điểm trong vụ hối lộ

    Tỷ phú Ấn Độ Gautam Adani và cháu trai Sagar Adani đã bị Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) triệu tập để giải thích các cáo buộc rằng họ đã hối lộ hơn 250 triệu USD để giành được các hợp đồng năng lượng mặt trời. Theo Press Trust of India (PTI), một lệnh triệu tập đã được gửi đến nơi ở của gia đình Adani ở Ahmedabad, một thành phố ở phía tây Ấn Độ, yêu cầu họ phải trả lời trong vòng 21 ngày. PTI dẫn thông báo được đưa ra thông qua Tòa án quận phía Đông New York vào ngày 21/11 cho biết, nếu gia đình Adani không trả lời đúng hạn thì phán quyết khuyết tịch sẽ được đưa ra đối với họ.

  • SEC Hoa Kỳ: Tổng cộng có 583 hành động thực thi đã được thực hiện trong năm tài chính 2024 và khoản cứu trợ tài chính cao nhất trong lịch sử đã đạt được là 8,2 tỷ USD.

    SEC Hoa Kỳ gần đây đã thông báo rằng các nỗ lực thực thi trong năm tài chính 2024 đã đạt mức cao kỷ lục, nêu bật nỗ lực duy trì tính toàn vẹn của thị trường và bảo vệ nhà đầu tư. Cơ quan này tiết lộ: “Tổng cộng có 583 hành động cưỡng chế đã được đệ trình trong năm tài chính 2024, trong khi đã thu được 8,2 tỷ USD tiền bồi thường tài chính, đây là số tiền cao nhất trong lịch sử SEC”. %. Chủ tịch SEC Gary Gensler bày tỏ sự đánh giá cao về vai trò của cơ quan thực thi pháp luật: "Cơ quan thực thi pháp luật là một lực lượng cảnh sát quyết tâm bám theo sự thật và luật pháp để buộc những kẻ vi phạm pháp luật phải chịu trách nhiệm dù họ đi bất cứ đâu. Như kết quả năm nay chứng minh, bộ giúp thúc đẩy tính liêm chính của thị trường vốn của chúng tôi mang lại lợi ích cho cả nhà đầu tư và nhà phát hành."

  • Hạ viện Hoa Kỳ: Ủy viên SEC Hester Peirce có thể trở thành quyền chủ tịch mới của SEC

    Nghị sĩ Hoa Kỳ French Hill tiết lộ tại Hội nghị thượng đỉnh Blockchain Bắc Mỹ (NABS) rằng Ủy viên SEC của Đảng Cộng hòa Hester Peirce “có khả năng” trở thành quyền chủ tịch mới của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC). Ông chỉ ra rằng sau khi Chủ tịch hiện tại Gary Gensler từ chức vào ngày 20 tháng 1 năm 2025, Đảng Cộng hòa sẽ tiếp quản SEC và Peirce dự kiến ​​​​sẽ tiếp quản vị trí của ông.

  • Musk: Phương tiện truyền thông truyền thống tung tin sai sự thật về chiến dịch tranh cử của Biden và Harris vẫn tồn tại

    Elon Musk đã đăng trên

  • Giám đốc pháp lý của Ripple tư vấn cho SEC về lãnh đạo mới cải cách các quy tắc về tiền điện tử

    Giám đốc pháp lý của Ripple, Stuart Alderoty, đã chia sẻ lời khuyên của mình với ban lãnh đạo sắp tới của SEC trong một bài đăng trên X tuần này. Alderoty bày tỏ sự tin tưởng vào khả năng của nhóm chuyển đổi trong việc giải quyết hiệu quả các vấn đề pháp lý về tiền điện tử và kêu gọi một số hành động. Ông viết: “Tôi tin tưởng rằng nhóm chuyển đổi sẽ đưa ra quyết định đúng đắn khi xem xét các điều kiện cơ bản này đối với tiền điện tử”. nhằm thúc đẩy hợp tác. Ông nhấn mạnh sự cần thiết phải làm việc với Quốc hội và các cơ quan quản lý tài chính để phát triển các quy tắc tiền điện tử rõ ràng, trực tiếp thay vì chấp nhận quyền tài phán của SEC. Ngoài ra, ông kêu gọi từ bỏ bài phát biểu của Hinman năm 2018 và Khung phân tích tài sản kỹ thuật số năm 2019, tăng cường tính minh bạch trong quy trình Đạo luật Tự do Thông tin (FOIA) và thực hiện các bước để khôi phục lòng tin và các câu hỏi của công chúng thông qua Văn phòng Tổng Thanh tra để giải quyết các vấn đề trước đây của SEC. các vấn đề.

  • Giám đốc điều hành Bitwise nhắc nhở rằng ETHW không phù hợp với tất cả các nhà đầu tư và tiềm ẩn rủi ro cao cũng như tính biến động cao

    Hunter Horsley, Giám đốc điều hành của Bitwise, đã đăng trên Công ty đầu tư An và do đó không được luật này bảo vệ, ETHW không phù hợp với tất cả các nhà đầu tư và có rủi ro cao hơn cũng như tính biến động cao.

  • Musk cho biết ông thích meme "SẼ" và các token liên quan đã tăng 400 lần trong một thời gian ngắn

    Musk đã đăng một bức ảnh lên mạng xã hội của mình và nói rằng anh ấy thích meme "SẼ". Bị ảnh hưởng bởi tin tức này, đồng meme cùng tên đã tăng giá trong thời gian ngắn. Theo dữ liệu GMGN, đồng meme cùng tên, được tạo ra cách đây 123 ngày, đã tăng hơn 400 lần trong một khoảng thời gian ngắn và giá trị thị trường hiện tại của nó đạt 4,5 triệu USD. Người dùng được nhắc nhở: Hiện tại không có trường hợp sử dụng thực tế nào đối với đồng Meme, giá biến động lớn và cần phải thận trọng khi đầu tư.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty