MasterChef ma pewne wady, które można naprawić w trakcie użytkowania, ale tylko wtedy, gdy użytkownicy są ich świadomi i wiedzą, co mogą zrobić. Oto obejście, według Gleb Żykow i Vlad Korovnikov z HashEx.
Zdecentralizowane wymiany (DEX) były dość rzadkie zaledwie dwa lata temu, a dziś wydaje się, że są wszędzie. Liczne projekty posiadające własne osobiste DEX-y. Stało się tak, ponieważ kiedy projekt blockchain decyduje się na uruchomienie DEX, nie robi tego całkowicie od zera. Zamiast tego podstawą kodu DEX-a jest często rozwidlenie jednego z dwóch głównych DEX-ów — SushiZamień or PancakeSwap.
Inteligentny kontrakt Masterchefa
Te dwie giełdy w dużym stopniu zrewolucjonizowały przestrzeń DEX dzięki specjalnemu inteligentnemu kontraktowi o nazwie MasterChef. MasterChef pojawia się w obu z nich, więc pojawia się także w każdym DEX-ie, który powstał jako rozwidlenie jednego z tych dwóch. Każdy nowy DEX ma te same funkcje. Ale oznacza to również, że podziela niedociągnięcia i słabe punkty MasterChef.
Przyjrzyjmy się więc, jakie problemy mogą napotkać użytkownicy i programiści podczas współpracy z MasterChef. Na co powinni zwrócić uwagę? I jak należy do nich podchodzić?
Jak działają DEXy?
Pierwszą rzeczą, na którą należy zwrócić uwagę, jest to, że kontrakt MasterChef to inteligentny kontrakt napisany w Solidity, który kontroluje, co gospodarstwo może zrobić i jak może to zrobić. W większości projektów istnieje wiele inteligentnych kontraktów dzielących się odpowiedzialnością i pracą. Ale jeśli chodzi o protokoły oparte na MasterChef, to ta pojedyncza umowa zajmuje się wszystkimi kwestiami związanymi z rolnictwem.
Zdecentralizowane giełdy umożliwiają wymianę kryptowalut bez konieczności deponowania pieniędzy na giełdzie portfel. Zamiast tego wpłacasz środki na inteligentne kontrakty z własnego portfela. Jesteś jedyną osobą, która to kontroluje i masz dostęp do własnych środków, jeśli umowy nie mają backdoorów ani luk w zabezpieczeniach.
Kolejna różnica polega na tym, że CEX-y korzystają z ksiąg zamówień do kupna i sprzedaży. Oznacza to, że dopasowują kupujących do sprzedających, podczas gdy DEXy korzystają z AMM (Automated Market Producent) protokoły handlu, które obliczają cenę aktywów w zależności od zainwestowanej ilości płynności.
Płynność pochodzi z pul płynności, czyli pul, do których użytkownicy mogą wpłacać środki dla określonych par i udostępniać środki na potrzeby protokołu. Następnie, gdy ktoś spróbuje kupić aktywa za pomocą tej pary, jego zlecenie jest natychmiast realizowane przy użyciu środków z puli. Tymczasem osoby, które zdeponowały środki w puli płynności, otrzymują tokeny LP dla tej konkretnej puli. Daje im to prawo do dzielenia się nagrodami.
A jeśli kiedykolwiek zechcą odzyskać swoje środki, wystarczy, że zwrócą otrzymane tokeny LP.
Jak zapewne wiesz, istnieje wiele sposobów generowania plony z holdingów kryptowalutowych. Farmy dają dodatkowe nagrody za zapewnienie płynności. Użytkownicy dodają płynność do DEX-ów, zdobywają tokeny LP i stawiają je w farmach.
MasterChef: Luki i wady
Omówiliśmy, jak działają DEXy i jak działają pule płynności. Przyjrzyjmy się więc bliżej, gdzie pojawiają się luki w zabezpieczeniach MasterChef, jak wpływają na proces, a także jakie podejście należy zastosować, aby zapewnić płynne działanie.
Przejęte konta
Jednym z największych problemów, na który należy zwrócić uwagę, jest naruszenie bezpieczeństwa kont właścicieli. Zasadniczo SushiSwap wymyślił metodę, która pozwoliła mu zyskać przewagę nad Uniswapem. Metoda ta polega na migracji aktywów z jednej giełdy na drugą. Jest to obsługiwane przez kontrakt za pomocą osobnej funkcji, do której dostęp ma tylko właściciel kontraktu.
Jednak ta migracja może zakończyć się dostosowaniem do praktycznie dowolnej umowy, bez żadnych ograniczeń, co okazało się poważnym niedopatrzeniem. Zatem jeśli bezpieczeństwo konta właściciela zostanie naruszone, może to skutkować zawarciem nowej umowy migracyjnej, która wyśle wszystkie podstawowe tokeny LP we wszystkich pulach hodowlanych na dowolny adres. Doprowadziłoby to do ogromnej utraty zainwestowanych aktywów.
Należy zauważyć, że ta funkcja jest teraz znana programistom i dlatego została natychmiast usunięta widły. Jeśli jednak pozostanie obecny, należy to natychmiast uznać za czerwoną flagę.
Warto również zauważyć, że w przypadku niektórych widelców MasterChef właściciel umowy może zmieniać poziom emisji bez żadnych ograniczeń. Jeśli jednak konto zostanie naruszone, osoba atakująca może ustawić bardzo duży współczynnik emisji, co doprowadzi do dewaluacji tokena.
Można to rozwiązać w dość prosty sposób, po prostu upewniając się, że wszystkie funkcje dostępne dla właściciela umowy wymagają autoryzacji wieloma podpisami. W ten sposób, jeśli pojedynczy adres zostanie naruszony, źli aktorzy nie będą mogli wiele z nim zrobić. Kolejną rzeczą do zrobienia jest dodanie tymczasowej blokady (kontraktu Timelock) na wywołanie funkcji migracji. W ten sposób użytkownik ma więcej czasu na podjęcie decyzji, a giełda musiałaby powiadomić Cię o migracji lub innej podejrzanej transakcji.
Dodanie identycznych pul hodowlanych
Kolejna dość oczywista, ale przeoczona kwestia pojawia się, gdy pierwotna umowa nie uwzględnia przetwarzania identycznych grup rolników, co oznacza, że umowa grozi błędnym obliczeniem nagród rolniczych.
Nie stanowi to wielkiego problemu, jeśli MasterChef będzie używany prawidłowo, gdyż właściciel nie chciałby celowo dodawać identycznych pul. Tak naprawdę na prawidłowo działających giełdach te rzeczy są weryfikowane i tworzenie duplikatów puli jest surowo zabronione. Jeśli zatem rozpoczniesz tworzenie puli i zmierzasz w kierunku utworzenia duplikatu istniejącej puli, system powinien być w stanie zgłosić błąd. Możesz też zasugerować dodanie środków do istniejącej puli zamiast tworzenia nowej.
Nie obliczamy ilości zdeponowanych tokenów
Z jakiegoś powodu ludzie często zapominają o tym, co może się stać, jeśli tokeny z prowizjami za przelewy lub tokeny rebase zostaną dodane jako pule do umowy MasterChef. To, co się dzieje, to podział w sposobie obliczania nagród, ponieważ kod kontraktu dodaje aktywa do pul tylko poprzez wywołanie określonych funkcji. Oznacza to, że dodanie tokenów do adresu spowoduje połączenie ich z aktywami już znajdującymi się w puli. Jednak obliczenia nagród za takie tokeny mogą zostać zepsute, co prowadzi do luk w zabezpieczeniach.
Prawidłowo działające platformy powinny oddzielnie obliczać wysokość środków przekazanych na rolnictwo, sprawdzając faktycznie przekazaną kwotę, uwzględniającą prowizje. W ten sposób obliczenia nagród zostaną wykonane poprawnie.
MasterChef: Wniosek
MasterChef to pojedynczy inteligentny kontrakt używany do uzyskiwania plonów poprzez zapewnienie płynności w DEX-ach. Niestety ma pewne wady, które można naprawić w trakcie użytkowania, ale tylko wtedy, gdy użytkownicy są ich świadomi i co mogą zrobić.
Powyżej omówiliśmy kilka rzeczy, które mogą się zdarzyć i jak można ich uniknąć. Należy jednak zauważyć, że jest ich więcej, takich jak rozwodnienie nagród w przypadku wysyłania tokenów bezpośrednio na adres kontraktu, problemy ze zmianami bloków startowych, optymalizacje gazu i inne.
Innymi słowy, istnieją luki w zabezpieczeniach i problemy, o których należy pamiętać i na które należy zwracać uwagę. Ale ogólnie rzecz biorąc, MasterChef to rewolucyjny kontrakt, który w dużym stopniu umożliwił zdecentralizowaną wymianę. Tak więc, jeśli będziesz go używać ostrożnie i będziesz świadomy jego wad oraz sposobów ich naprawienia, wszystko powinno być w porządku.
O autorach
Gleb Żykow jest współzałożycielem i dyrektorem technicznym w firmie a DeFi bezpieczeństwo i firma analityczna HashEx.
Wład Korownikow jest młodszym audytorem i programistą Smart Contract.
Mam trochętchcesz powiedzieć o obejściach Masterchef lub o czymkolwiek innym? Napisz do nas lub dołącz do dyskusji w naszym Kanał telegramu. Możesz też nas złapać Tik Tok, Facebooklub Twitter.
Odpowiedzialność
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na własne ryzyko.
Źródło: https://beincrypto.com/masterchef-smart-contracts-the-workarounds-for-the-fatal-flaws/