Uniswap v4 незабаром буде запущено, це оновлення принесе безліч інноваційних функцій, серед яких механізм Hook є особливо помітним.
Механізм Hook дозволяє виконувати користувацький код на певних вузлах життєвого циклу пулу ліквідності, що значно підвищує масштабованість і гнучкість пулу. Проте складність Hook також приносить нові потенційні ризики безпеки.
Ця стаття, як початок серії статей, представить концепції, пов'язані з Hook у Uniswap v4, та огляне безпекові ризики, що існують.
Основний механізм Uniswap V4
Три основні функції Uniswap v4 - це Hook, одноразова архітектура та миттєве обліку.
Механізм Hook
Hook є контрактом, що працює на різних етапах життєвого циклу ліквіднісного пулу, наразі є 8 Hook зворотних викликів, які розділені на 4 групи:
передІніціалізацією/післяІніціалізації
передЗміноюПозиції/післяЗміниПозиції
перед обміном/після обміну
передДонатом/післяДонату
Hook може реалізувати динамічні витрати, лімітні ордери на ланцюгу тощо.
! [Чому Hook є «палицею з двома кінцями» для Uniswap V4?] ](https://img-cdn.gateio.im/webp-social/moments-f652bf2a22ca7f28f19b4ce9880d0548.webp)
Одиночка та блискавична бухгалтерія
Одноразова архітектура зберігає всі ліквідні пулі в одному смарт-контракті. Механізм миттєвого обліку вводить новий механізм обліку, підвищуючи ефективність за рахунок коригування внутрішніх балансів, а не миттєвих переказів.
механізм блокування
Механізм блокування забезпечує виконання транзакцій у порядку та їх розрахунок. Зовнішні рахунки повинні взаємодіяти з PoolManager через контракт, який виступає в якості проміжного блокувальника, що запитує блокування та виконує транзакції.
Модель загроз
Ми в основному розглядаємо дві моделі загрози:
Модель загрози I: Hook сам по собі доброзичливий, але має вразливості
Модель загрози II: сам Hook є шкідливим
Проблеми безпеки в моделі загроз I
Основні два типи Hook:
Зберігання коштів користувачів Hook
Hook для зберігання ключових станів даних
Дослідження показало, що 36% відповідних проєктів мають вразливості, головним чином це проблеми з контролем доступу та перевіркою введення.
Проблема контролю доступу
Функція зворотного виклику Hook повинна викликатися лише PoolManager, необхідно створити потужний механізм контролю доступу.
Проблема верифікації введення
Неправильна валідація введення в деяких реалізаціях Hook може призвести до ненадійних зовнішніх викликів, що викликають повторні атаки та інші.
Заходи безпеки
Впровадження контролю доступу до чутливих функцій
Перевірте вхідні параметри
Використання захисту від повторних входів
! [Чому Hook є «палицею з двома кінцями» для Uniswap V4?] ](https://img-cdn.gateio.im/webp-social/moments-ba4bfa88e0ac0b6246e82ad879361ff3.webp)
Проблеми безпеки в моделі загроз II
Розділіть Hook на два типи: керований і незалежний.
Хостинговий Hook
Користувачі взаємодіють з Hook через маршрутизатор, площа атаки менша, але все ще можуть маніпулювати механізмом управління витратами.
незалежний Hook
Користувачі можуть безпосередньо взаємодіяти з Hook, що несе більший ризик. Якщо Hook може оновлюватися, він може стати шкідливим після оновлення.
Заходи безпеки
Оцінити, чи є Hook зловмисним
Увага до управління витратами зберігання Hook
Зверніть увагу на можливість оновлення незалежного Hook
Висновок
Ця стаття оглядає основні концепції механізму Hook Uniswap v4 та потенційні ризики безпеки. Наступні статті проведуть глибокий аналіз проблем безпеки в рамках різних моделей загроз.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
4
Репост
Поділіться
Прокоментувати
0/400
MoonlightGamer
· 08-13 03:12
А це ще сміє закладати гачки, хто наважиться потрапити в пастку.
Переглянути оригіналвідповісти на0
PanicSeller
· 08-13 03:08
Оновлення биків — це оновлення, але безпека на першому місці.
Переглянути оригіналвідповісти на0
GasWastingMaximalist
· 08-13 03:02
v4 прийшов, і купа вразливостей безпеки також прийде
Механізм Hook Uniswap v4: інноваційні функції та виклики безпеки
Механізм Hook Uniswap v4: можливості та виклики
Uniswap v4 незабаром буде запущено, це оновлення принесе безліч інноваційних функцій, серед яких механізм Hook є особливо помітним.
Механізм Hook дозволяє виконувати користувацький код на певних вузлах життєвого циклу пулу ліквідності, що значно підвищує масштабованість і гнучкість пулу. Проте складність Hook також приносить нові потенційні ризики безпеки.
Ця стаття, як початок серії статей, представить концепції, пов'язані з Hook у Uniswap v4, та огляне безпекові ризики, що існують.
Основний механізм Uniswap V4
Три основні функції Uniswap v4 - це Hook, одноразова архітектура та миттєве обліку.
Механізм Hook
Hook є контрактом, що працює на різних етапах життєвого циклу ліквіднісного пулу, наразі є 8 Hook зворотних викликів, які розділені на 4 групи:
Hook може реалізувати динамічні витрати, лімітні ордери на ланцюгу тощо.
! [Чому Hook є «палицею з двома кінцями» для Uniswap V4?] ](https://img-cdn.gateio.im/webp-social/moments-f652bf2a22ca7f28f19b4ce9880d0548.webp)
Одиночка та блискавична бухгалтерія
Одноразова архітектура зберігає всі ліквідні пулі в одному смарт-контракті. Механізм миттєвого обліку вводить новий механізм обліку, підвищуючи ефективність за рахунок коригування внутрішніх балансів, а не миттєвих переказів.
механізм блокування
Механізм блокування забезпечує виконання транзакцій у порядку та їх розрахунок. Зовнішні рахунки повинні взаємодіяти з PoolManager через контракт, який виступає в якості проміжного блокувальника, що запитує блокування та виконує транзакції.
Модель загроз
Ми в основному розглядаємо дві моделі загрози:
Проблеми безпеки в моделі загроз I
Основні два типи Hook:
Дослідження показало, що 36% відповідних проєктів мають вразливості, головним чином це проблеми з контролем доступу та перевіркою введення.
Проблема контролю доступу
Функція зворотного виклику Hook повинна викликатися лише PoolManager, необхідно створити потужний механізм контролю доступу.
Проблема верифікації введення
Неправильна валідація введення в деяких реалізаціях Hook може призвести до ненадійних зовнішніх викликів, що викликають повторні атаки та інші.
Заходи безпеки
! [Чому Hook є «палицею з двома кінцями» для Uniswap V4?] ](https://img-cdn.gateio.im/webp-social/moments-ba4bfa88e0ac0b6246e82ad879361ff3.webp)
Проблеми безпеки в моделі загроз II
Розділіть Hook на два типи: керований і незалежний.
Хостинговий Hook
Користувачі взаємодіють з Hook через маршрутизатор, площа атаки менша, але все ще можуть маніпулювати механізмом управління витратами.
незалежний Hook
Користувачі можуть безпосередньо взаємодіяти з Hook, що несе більший ризик. Якщо Hook може оновлюватися, він може стати шкідливим після оновлення.
Заходи безпеки
Висновок
Ця стаття оглядає основні концепції механізму Hook Uniswap v4 та потенційні ризики безпеки. Наступні статті проведуть глибокий аналіз проблем безпеки в рамках різних моделей загроз.