SWAP:Uniswap V3給合約審計帶來的新挑戰_uniswap幣總量有多少

作者 | Fairyproof TechCEO譚粵飛，美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學 《區塊鏈概論》 課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事，擁有4項區塊鏈相關專利四項。

萬眾期待的Uniswap V3終于面世了，它的白皮書（https://uniswap.org/whitepaper-v3.pdf）及相關源代碼（https://github.com/Uniswap/uniswap-v3-core/tree/main/contracts）已經向業界全面公開。

SumSwap平臺通證SUM同時上線SumSwap、Uniswap及Sushi三大去中心化交易所:據官方消息，SumSwap平臺通證SUM同時上線SumSwap、Uniswap及Sushi三大去中心化交易所，并開通SUM/USDT交易對，當前報價2USDT/SUM。SumSwap已經開啟抵押Uniswap V2及Sushi的SLP挖礦功能，通過在SumSwap抵押相應SLP就能挖到SUM，并在SumSwap、Uniswap及Sushi三大去中心化交易所交易。

SumSwap是一款英國開發的數學創新型去中心化協議，該協議在對當下眾多優秀DeFi研究后，運用數學方法對眾多算法整合而開發成的新一代去中心化協議。SumSwap目前僅部署在以太坊主網上。[2021/6/2 23:05:53]

這兩天各個專業人士發表了對V3的看法，這些看法主要集中在V3所具備的新特點、帶來的新體驗。作為在安全領域從業的我們則更加關注V3對合約審計尤其是去中心化交易所合約審計帶來的新挑戰。

Uniswap社區發起治理投票以重啟部分UNI獎勵:金色財經報道，Audius戰略負責人Cooper Turley和化名為“貨幣供應”的匿名人士周一在Uniswap社區提出了一項治理投票，以繼續為WBTC/ETH、USDC/ETH、USDT/ETH和DAI/ETH提供流動性挖礦獎勵。該提案將必須在12月4日恢復之前通過一系列的治理民意調查。據悉，Uniswap的創始流動性激勵計劃將于11月17日結束。[2020/11/17 21:01:12]

V3的問世毫無疑問將掀起新一輪DEX的升級大潮，因為它在資金效率、費用消耗、預言機優化等方面所作的改進將再次成為現有項目模仿的范本，也將成為眾多正在DEX賽道上創業團隊參照的藍本。

Uniswap總鎖倉量達22億美元 創歷史新高:金色財經報道，據DeBank數據顯示，當前以太坊DeFi協議鎖定資產總價值為113.5億美元，鎖定資產排名前五的分別為：Uniswap以22億美元排在首位、Maker鎖定資產總價值為17億美元、Curve鎖定資產總價值13億美元、Aave鎖定資產總價值13億美元、大姨夫（YFI）鎖定資產總價值13億美元。

注：總鎖倉量（TVL）是衡量一個DeFi項目使用規模時最重要的指標，通過計算所有鎖定在該項目智能合約中的ETH及各類ERC-20代幣的總價值（美元）之和而得到。[2020/9/21]

我們相信一批新的DEX合約會用到V3的實現方式，而這些新的DEX合約可能產生安全問題的源頭在以下兩方面：?

新協議SushiSwap：利用Uniswap核心設計，新增面向社區功能:推特用戶Chef Nomi #SushiSwap宣布推出SushiSwap，該協議利用Uniswap的核心設計，增加了面向社區的功能。要開始提供流動性并獲得SUSHI代幣，任何持有Uniswap LP代幣的人都可以將其質押到相應的池中，并將在區塊高度10750000開始賺取代幣獎勵。每個區塊將創建100枚SUSHI，平均分配給每個支持池的質押者。在最初的100000個區塊（大約2周），SUSHI的生產數量將是10倍，即每區塊生產1000枚，以此激勵耕作者和協議采用者。

達到100000區塊后，我們將把所有的流動性質押代幣轉移到SushiSwap合約上，這將涉及獲取所有質押在SushiSwap上的Uniswap LP代幣，屆時將在Uniswap上為各自代幣對贖回，并初始化新的流動性池。新池幾乎與標準的Uniswap池相同，只增加了一個特性，即任何累積的費用都將通過上述邏輯分配給SUSHI持有者。[2020/8/27]

1.由于V3引入了新的代碼許可協議，因此在商業方面將使得一些項目想直接照抄，拷貝變得有所顧忌，而不得不模仿它的實現方式，改寫它的源代碼。一旦改寫代碼就會給合約審計帶來挑戰。

2.在整體安全性上Uniswap的合約還是相當不錯的，這其中最重要的一個原因就是它的代碼簡潔、功能刪繁就簡。而V3在一系列細節上進行了修改，這在功能及性能上比V2有了極大提高，但在安全性方面就增加了復雜度。如果模仿團隊對這些改動不求甚解、完全照搬、甚至和以前的實現方式混用則會引入潛在的風險。

那么具體V3在哪些方面對準備借鑒、參考它實現方式的團隊帶來了安全性方面的挑戰呢？

我們認為有以下四大方面：

一、交易對由單個流動性池變為多個流動性池

V3的這個做法是為了提高資金效率，讓用流動性提供者將資金存入到交易量最大的價格區間。然而這就導致流動性池由單個變為多個。那么交易過程就會涉及到交易在多個資金池之間的切換，就會涉及到復雜的合約交互。

此外，每個流動性池現在可以設置不同的費率，這其中的計算邏輯就會比單一流動性池要復雜，這其中稍有不慎就會涉及到邏輯實現和計算過程的錯誤。

二、LP代幣由同質（ERC-20）通證變為非同質通證

在V2中，流動性池的代幣都被設計為同質通證，而在V3，它被設計為非同質通證。為了因應這個變化，V3中累積的費用會存在另外的池子中。但凡多了資金池，就多了被黑客攻擊的對象、就多了風險隱患，因此對這類新增加的資金池在安全方面的保障和維護就成為團隊必須要考慮的問題。

三、 UNI治理權可以轉交給其它地址

本質上這種方式如果使用得當、管理周全倒也不會對系統造成嚴重的風險。但權力是“固定”的、人卻是“靈活”的。如果這個治理權被轉移到不當地址（比如非DAO社區、非多簽錢包等）則后患無窮。

四、預言機的優化

V3對預言機進行了大膽的優化：其最重大的變化在我們看來就是價格計算方式的變化以及由計算方式帶來的一系列實現方式、流程邏輯的變化。

V3將價格的計算由算術平均值（arithmetic mean）變為幾何平均值（geometric mean）。用通俗的話說就是由加法運算變為對數運算。理論上，這極大拓展了價格的覆蓋區間，使得傳統上利用外在因素在極短時間引發價格劇烈波動從而操控交易的方式進一步失效。

但“福兮禍也”，這會不會在看上去一片大好的情況下引發新的問題？現在還不得而知，只能有待時間來證明。

此外，在V3白皮書中提到，這種方式讓其它合約調用預言機時能從某個交易對的多個流動性池中得到更可靠的數據。對此我們的擔心在于，如果某個池子被攻擊時，這個預言機所報的數據會不會不僅無效，而且誤差被更加放大？

對此，我們依然建議項目方在處理預言機喂價方面要謹慎又謹慎，盡量從多個數據源取數據，而不要依賴單一數據源，無論這個單一的數據源在理論計算上看上去多么美好、多么健壯。

Tags：SWAPUNIUniswapSUMSpiritSwapuniswap幣總量有多少Uniswap FinanceKATSUMI

FIL幣