MasterChef weist bestimmte Mängel auf, die während der Nutzung behoben werden können, jedoch nur, wenn die Benutzer sich dessen bewusst sind und wissen, was sie tun können. Hier ist die Problemumgehung Gleb Zykow und Vlad Korovnikov von HashEx.
Dezentraler Austausch (DEXes) waren noch vor zwei Jahren recht selten, und doch scheint es, dass sie heute überall zu finden sind. Zahlreiche Projekte haben ihre eigenen persönlichen DEXes. Dies geschah, weil ein Blockchain-Projekt, wenn es beschließt, einen DEX zu starten, diesen nicht völlig von Grund auf neu erstellt. Stattdessen ist die Grundlage für den DEX-Code oft eine Abzweigung von einem von zwei großen DEXes – Sushi-Tausch or Pfannkuchentausch.
Masterchef Smart Contract
Diese beiden Börsen haben den DEX-Bereich dank eines speziellen Smart Contracts namens MasterChef so ziemlich revolutioniert. MasterChef kommt in beiden vor, und so erscheint es auch in jedem DEX, der als Fork einer dieser beiden erstellt wurde. Jeder neue DEX kann dieselben Funktionen nutzen. Es bedeutet aber auch, dass es die Mängel und Schwachstellen von MasterChef teilt.
Schauen wir uns also an, auf welche Probleme Benutzer und Entwickler beim Umgang mit MasterChef stoßen können. Worauf sollten sie achten? Und wie soll man sie ansprechen?
Wie funktionieren DEXes?
Zunächst ist zu beachten, dass es sich bei einem MasterChef-Vertrag um einen in Solidity geschriebenen intelligenten Vertrag handelt, der steuert, was eine Farm tun kann und wie sie dies tun kann. In den meisten Projekten gibt es mehrere Smart Contracts, die sich die Verantwortung und Arbeit teilen. Aber wenn es um MasterChef-basierte Protokolle geht, ist es dieser einzige Vertrag, der sich um alles rund um die Landwirtschaft kümmert.
Dezentrale Börsen ermöglichen es Ihnen, Kryptowährungen auszutauschen, ohne Geld an der Börse einzahlen zu müssen Brieftasche. Stattdessen zahlen Sie Geld aus Ihrem eigenen Wallet in Smart Contracts ein. Sie sind die einzige Person, die die Kontrolle darüber hat und auf Ihre eigenen Gelder zugreifen kann, wenn die Verträge keine Hintertüren oder Schwachstellen aufweisen.
Ein weiterer Unterschied besteht darin, dass CEXes Orderbücher für den Kauf und Verkauf verwenden. Das bedeutet, dass sie Käufer und Verkäufer zusammenbringen, während DEXes AMM (Automated Market) verwenden Hersteller) Protokolle für den Handel, die den Preis der Vermögenswerte abhängig davon berechnen, wie viel Liquidität investiert wird.
Die Liquidität stammt aus Liquiditätspools, bei denen es sich um Pools handelt, in die Benutzer Gelder für bestimmte Paare einzahlen und Gelder für das Protokoll bereitstellen können. Wenn dann jemand versucht, mit diesem Paar Vermögenswerte zu kaufen, wird seine Bestellung sofort mit den Mitteln aus dem Pool ausgeführt. In der Zwischenzeit erhalten Personen, die Gelder in den Liquiditätspool eingezahlt haben, LP-Token für diesen bestimmten Pool. Dies gibt ihnen das Recht, Belohnungen zu teilen.
Und wenn sie jemals ihr Geld zurückerhalten möchten, müssen sie lediglich die LP-Token zurückgeben, die sie erhalten haben.
Wie Sie vielleicht wissen, gibt es mehrere Möglichkeiten zum Generieren Erträge aus Kryptobeständen. Landwirte gewähren zusätzliche Belohnungen für die Bereitstellung von Liquidität. Benutzer fügen DEXes Liquidität hinzu, erhalten LP-Token und setzen sie in Farmen ein.
MasterChef: Schwachstellen und Mängel
Wir haben behandelt, wie DEXes funktionieren und wie Liquiditätspools funktionieren. Schauen wir uns also genauer an, wo die MasterChef-Schwachstellen auftreten, wie sie sich auf den Prozess auswirken und welchen Ansatz Sie verfolgen müssen, um sicherzustellen, dass alles reibungslos läuft.
Kompromittierte Konten
Eines der größten Probleme, auf das man achten sollte, ist die Kompromittierung der Eigentümerkonten. Im Grunde hat SushiSwap eine Methode erfunden, die es ihm ermöglichte, sich einen Vorteil gegenüber Uniswap zu verschaffen. Bei dieser Methode geht es um die Migration von Vermögenswerten von einer Börse zu einer anderen. Dies wird vom Vertrag über eine separate Funktion erledigt, auf die nur der Vertragseigentümer zugreifen kann.
Allerdings kann diese Migration letztendlich auf praktisch jeden Vertrag ohne Einschränkungen abgestimmt werden, was letztendlich ein großes Versehen darstellte. Wenn also das Eigentümerkonto kompromittiert wird, kann dies zu einem neuen Migrationsvertrag führen, der alle Basis-LP-Tokens in allen Farming-Pools an eine beliebige Adresse sendet. Dies würde zu einem massiven Verlust des investierten Vermögens führen.
Es ist zu beachten, dass diese Funktion den Entwicklern inzwischen bekannt ist und daher sofort entfernt wird Gabeln. Wenn es jedoch weiterhin vorhanden ist, sollte dies sofort als Warnsignal gewertet werden.
Beachten Sie außerdem, dass der Vertragsinhaber bei einigen MasterChef-Gabeln die Emissionsrate ohne Einschränkungen ändern kann. Wenn das Konto jedoch kompromittiert wird, kann ein Angreifer eine sehr hohe Emissionsrate festlegen, was zu einer Abwertung des Tokens führen würde.
Es gibt eine ziemlich einfache Möglichkeit, dieses Problem zu lösen, indem einfach sichergestellt wird, dass alle dem Vertragsinhaber zur Verfügung stehenden Funktionen eine Autorisierung mit mehreren Signaturen erfordern. Wenn eine einzelne Adresse kompromittiert wird, können Angreifer auf diese Weise nicht viel damit anfangen. Eine andere Möglichkeit besteht darin, beim Aufruf der Migrationsfunktion einen temporären Block (Timelock-Vertrag) hinzuzufügen. Auf diese Weise hat der Benutzer mehr Zeit, eine Entscheidung zu treffen, und die Börse müsste Sie über die Migration oder jede andere verdächtige Transaktion informieren.
Hinzufügen identischer Farming-Pools
Ein weiteres ziemlich offensichtliches, aber übersehenes Problem entsteht, wenn der ursprüngliche Vertrag die Verarbeitung identischer Farming-Pools nicht berücksichtigt, was bedeutet, dass der Vertrag die Gefahr einer falschen Berechnung der Farming-Rewards mit sich bringt.
Bei korrekter Verwendung des MasterChef stellt dies kein großes Problem dar, da der Eigentümer nicht absichtlich identische Pools hinzufügen würde. Tatsächlich werden diese Dinge bei ordnungsgemäß funktionierenden Börsen überprüft und die Erstellung eines Duplikat-Pools ist strengstens untersagt. Wenn Sie also mit der Poolerstellung beginnen und dabei sind, ein Duplikat des vorhandenen Pools zu erstellen, sollte das System in der Lage sein, einen Fehler zu melden. Oder schlagen Sie vor, dass Sie Ihr Geld dem bestehenden Pool hinzufügen, anstatt einen neuen zu erstellen.
Die Menge der eingezahlten Token wird nicht berechnet
Aus irgendeinem Grund vergessen die Leute oft, darüber nachzudenken, was passieren könnte, wenn Token mit Provisionen für Transfers oder Rebase-Tokens als Pools zum MasterChef-Vertrag hinzugefügt werden. Was passiert, ist ein Zusammenbruch bei der Berechnung der Belohnungen, da der Vertragscode Vermögenswerte nur durch den Aufruf bestimmter Funktionen zu Pools hinzufügt. Das bedeutet, dass durch das Hinzufügen von Token zur Adresse diese mit den bereits im Pool befindlichen Vermögenswerten kombiniert werden. Die Berechnung der Belohnungen für solche Token kann jedoch fehlerhaft sein, was zu Schwachstellen führt.
Ordnungsgemäß funktionierende Plattformen sollten die Menge der für die Landwirtschaft übertragenen Gelder separat berechnen, indem sie den tatsächlich übertragenen Betrag unter Berücksichtigung der Provisionen überprüfen. Auf diese Weise werden die Belohnungsberechnungen korrekt durchgeführt.
MasterChef: Fazit
MasterChef ist ein einzelner intelligenter Vertrag, der durch die Bereitstellung von Liquidität in DEXes zur Ertragssteigerung in der Landwirtschaft verwendet wird. Leider weist es gewisse Mängel auf, die während der Nutzung behoben werden können, allerdings nur, wenn die Benutzer sich dessen bewusst sind und wissen, was sie tun können.
Oben haben wir verschiedene Dinge besprochen, die passieren können, und wie diese Probleme vermieden werden können. Es sollte jedoch beachtet werden, dass es noch mehr davon gibt, wie z. B. eine Verwässerung der Belohnungen, wenn Token direkt an die Vertragsadresse gesendet werden, Probleme mit Startblockänderungen, Gasoptimierungen und mehr.
Mit anderen Worten: Es gibt Schwachstellen und Probleme, die man im Auge behalten und im Auge behalten sollte. Aber insgesamt ist MasterChef ein revolutionärer Vertrag, der den dezentralen Austausch weitgehend ermöglicht hat. Solange Sie es also vorsichtig verwenden und sich seiner Mängel bewusst sind und wissen, wie Sie diese beheben können, sollte alles in Ordnung sein.
Über die Autoren
Gleb Zykow ist Mitbegründer und CTO bei a DeFi Sicherheitdienst und Analyseunternehmen HashEx.
â € <â € <Wlad Korownikow ist Junior Smart Contract Auditor und Entwickler.
Ich habe welchetGibt es etwas zu Masterchef-Problemumgehungen oder etwas anderem zu sagen? Schreib uns oder beteiligen Sie sich an der Diskussion in unserem Telegrammkanal. Sie können uns auch erreichen Tik Nahm, Facebook, oder Twitter.
Haftungsausschluss
Alle auf unserer Website enthaltenen Informationen werden in gutem Glauben und nur zu allgemeinen Informationszwecken veröffentlicht. Alle Maßnahmen, die der Leser in Bezug auf die auf unserer Website enthaltenen Informationen ergreift, erfolgen ausschließlich auf eigenes Risiko.
Quelle: https://beincrypto.com/masterchef-smart-contracts-the-workarounds-for-the-fatal-flaws/