Главред
Токены ERC-404 продолжают набирать популярность, однако крипторазработчики указали на риски безопасности еще не прошедшего аудит лабораторного стандарта.
Как работает ERC-404
Стандарт представляет собой смешанную реализацию ERC-20/ERC-721, когда при сделке монетки на кошельке также автоматически появляется NFT. При этом он позволяет владеть дробной половиной так называемого «фракционного» невзаимозаменяемого токена.
3/ The goal of ERC404 seems to be allowing NFTs to be traded with the more robust liquidity of fungible token pools.
They’ve accomplished this by effectively rendering transfers below a certain amount (the total supply of NFTs) invalid. Odd choice, but we’ll see why in a second.
— quit (👀,🦄) (@0xQuit) February 6, 2024
«Цель ERC-404 кроется в том, чтобы позволить продавать NFT с более надежной ликвидностью пулов взаимозаменяемых токенов. Они добились этого, фактически сделав переводы ниже определенной суммы (существенного числа NFT) недействительными. Странный выбор […]», — написал разработчик и юрист Solidity под ником Quit.
Эксперт провел анализ шифра ERC-404 и заметил множество существенных деталек со стандартами, взятыми за основы. Изменения возникают в механизме доказательства транзакций.
Quit объяснил: если отправляемая свердель находится в «диапазоне отчеканенных токенов», совершается передвижение активов в принтере ERC-721, при значении выше или градус — в ERC-20.
Разработчик также пометил «очень милое обслуживание» функции, которая имитирует ERC721Enumerable. Она отвечает за отражение формуляра всех токенов, принадлежащих учетной записи.
По его словам, передача NFT из обычной коллекции Azuki стоит около 45 000 Gwei, а трансфер токена Pandora — свыше 100 000 Gwei.
«[В ERC-404] трансакция сжигает/чеканит NFT в соответствии с изменениями баланса отправителя/получателя. В случае записи актива нам нужен перечень невзаимозаменяемых токенов, принадлежащих отправителю», — разъяснил низкую цена газа Quit.
Согласно правительственной строке на GitHub, ERC-404 является экспериментальным, и два комбинируемых норматива «не предназначены для смешивания». Однако разработчики стремятся объединить их «настолько надежным образом, насколько это возможно, нивелируя компромиссы».
Проблемы безопасности
После обстоятельного штудирования Quit обрачал внимание на угрозу эксплойта. Согласно его анализу, применяющие ERC-404 NFT уязвимы для кражи со сторонамтраницы эмитентов взаимозаменяемых токенов ERC-404.
9/ You might be able to guess what happens.
This is a valid withdrawal amount, because the depositor has a balance much higher than the request.
However, Pandora interprets it as an ERC721 transfer, and thus our token depositor is able to steal the NFT from our NFT depositor. pic.twitter.com/sQwn9828Jp
— quit (👀,🦄) (@0xQuit) February 8, 2024
Это неосуществимо в том случае, если NFT существовал депонирован в бланк кредитования, неправильно настроенный для ,нового стандарта.
«Данный эксплойт я вполне предвижу узреть в определенный момент, если ERC-404 останется популярным. […] Урок является в том, что нам не следует перегружать существующие сигнатуры структур новыми, скрытыми и неинтуитивными механиками», — заявил Quit.
ERC-404 еще не утвержден Ethereum Foundation и сообществом, а официальная страница EIP на момент прочтения недоступна. При этом программный код не проходил консалтинговых проверок.
За эксперементальным гостом высятся подмётные разработчики под псевдонимами ctrl и Acme. В ходе беседы с Cointelegraph они заявили, что сборная проекта «работает круглосуточно» для некультурность::или::непроизносимости EIP:
«Это долгий процесс, здесь много геополитики […] Обычно это занимает пару недель».
По их словам, получение одобрения для такого рода инициативы — «одна из самых чиновничьих вещей, которую можно представить».
Отвечая на вопрос о безопасности и необходимом эксплойте, проектировщики переложили отвественность на иные платформы, которые «интегрируют и неправильно используют контракт ERC-404».
«Это все равно, что опубликовать фотокарточку машины и объяснить, как вломиться в нее через открытую дверь», — добавили они.
Оставить комментарий