UNI:Uniswap V3給合約審計帶來的新挑戰_Uniswap

萬眾期待的UniswapV3終于面世了，它的白皮書及相關源代碼已經向業界全面公開。

這兩天各個專業人士發表了對V3的看法，這些看法主要集中在V3所具備的新特點、帶來的新體驗。作為在安全領域從業的我們則更加關注V3對合約審計尤其是去中心化交易所合約審計帶來的新挑戰。

V3的問世毫無疑問將掀起新一輪DEX的升級大潮，因為它在資金效率、費用消耗、預言機優化等方面所作的改進將再次成為現有項目模仿的范本，也將成為眾多正在DEX賽道上創業團隊參照的藍本。

我們相信一批新的DEX合約會用到V3的實現方式，而這些新的DEX合約可能產生安全問題的源頭在以下兩方面：?

數據：Uniswap V2日交易費用超過BTC:Crypto Fees數據顯示，Uniswap V2日交易費用超過BTC，排名第二。[2021/1/25 13:25:38]

1.由于V3引入了新的代碼許可協議，因此在商業方面將使得一些項目想直接照抄，拷貝變得有所顧忌，而不得不模仿它的實現方式，改寫它的源代碼。一旦改寫代碼就會給合約審計帶來挑戰。

2.在整體安全性上Uniswap的合約還是相當不錯的，這其中最重要的一個原因就是它的代碼簡潔、功能刪繁就簡。而V3在一系列細節上進行了修改，這在功能及性能上比V2有了極大提高，但在安全性方面就增加了復雜度。如果模仿團隊對這些改動不求甚解、完全照搬、甚至和以前的實現方式混用則會引入潛在的風險。

MOMOEX平臺已上架UNI/USDT幣對交易:據官方消息，MOMOEX平臺已上架UNI-USDT幣對交易， 為了快速支持流動性，本次上線新增幣種暫未開放充值提現。

Uniswap是一種基于以太坊的協議，旨在促進ETH和ERC20 代幣數字資產之間的自動兌換交易，在以太坊上自動提供流動性。Uniswap完全部署在鏈上，任何個人用戶，只要安裝了去中心化錢包軟件都可以使用這個協議。Uniswap試圖利用去中心化協議來讓數字資產交易過程中徹底實現去中介化。UNI是Uniswap協議令牌，同時，UNI持有人將立即擁有：Uniswap治理、UNI社區金庫、協議費用切換、eth ENS、Uniswap默認列表（tokens.uniswap.eth）、SOCKS流動性代幣。 據悉，MOMOEX由ChainUP Capital基金投資和深度支持，品牌愿景是為用戶提供“More Safety、More Benefits 更加安全、更多收益”的優質交易平臺。[2020/9/17]

那么具體V3在哪些方面對準備借鑒、參考它實現方式的團隊帶來了安全性方面的挑戰呢？

聲音 | DeFi貸款協議bZx聲明：并沒有用Uniswap喂價:DeFi貸款協議bZx發表聲明稱，此次操縱事件導致市面上出現很多不實流傳，但bZx并沒有用Uniswap喂價，Uniswap只是多個流動性來源之一。此前消息，去中心化金融（DeFi）貸款協議bZx被操縱導致以太坊損失，聯合創始人KyleKistner表示，部分ETH（已）損失，此次事件是因為一個合約被利用導致的，目前bZx已暫時關閉該合約。安全研究人員目前在調查導致事故的確切原因，并表示，會發布詳細的事后調查報告，目前剩余的資金是安全的。因為此次事件，bZx關閉了Fulcrum交易平臺進行維護。DeFiPulse的數據顯示，過去的24小時內，bZx協議中提出ETH達3300枚，約合93.2萬美元，業內人士估測，此次損失金額約為35萬美元。dForce&Blockpower創始人楊民道稱此次事件是利用了四個DeFi協議之間做的操縱。整個操作路徑是，操縱人從dydx的閃貸借出1萬ETH，使用其中5000ETH在Compound借出112WBTC，5000ETH到bZx上開了WBTC的空單，用Compound借的WBTC去Uniswap砸盤，導致bZx空倉大賺，bZx的ETH出借人虧損。（鏈聞）[2020/2/16]

我們認為有以下四大方面：

一、交易對由單個流動性池變為多個流動性池

V3的這個做法是為了提高資金效率，讓用流動性提供者將資金存入到交易量最大的價格區間。然而這就導致流動性池由單個變為多個。那么交易過程就會涉及到交易在多個資金池之間的切換，就會涉及到復雜的合約交互。

此外，每個流動性池現在可以設置不同的費率，這其中的計算邏輯就會比單一流動性池要復雜，這其中稍有不慎就會涉及到邏輯實現和計算過程的錯誤。

二、LP代幣由同質通證變為非同質通證

在V2中，流動性池的代幣都被設計為同質通證，而在V3，它被設計為非同質通證。為了因應這個變化，V3中累積的費用會存在另外的池子中。但凡多了資金池，就多了被黑客攻擊的對象、就多了風險隱患，因此對這類新增加的資金池在安全方面的保障和維護就成為團隊必須要考慮的問題。

三、UNI治理權可以轉交給其它地址

本質上這種方式如果使用得當、管理周全倒也不會對系統造成嚴重的風險。但權力是“固定”的、人卻是“靈活”的。如果這個治理權被轉移到不當地址則后患無窮。

四、預言機的優化

V3對預言機進行了大膽的優化：其最重大的變化在我們看來就是價格計算方式的變化以及由計算方式帶來的一系列實現方式、流程邏輯的變化。

V3將價格的計算由算術平均值變為幾何平均值。用通俗的話說就是由加法運算變為對數運算。理論上，這極大拓展了價格的覆蓋區間，使得傳統上利用外在因素在極短時間引發價格劇烈波動從而操控交易的方式進一步失效。

但“福兮禍也”，這會不會在看上去一片大好的情況下引發新的問題？現在還不得而知，只能有待時間來證明。

此外，在V3白皮書中提到，這種方式讓其它合約調用預言機時能從某個交易對的多個流動性池中得到更可靠的數據。對此我們的擔心在于，如果某個池子被攻擊時，這個預言機所報的數據會不會不僅無效，而且誤差被更加放大？

對此，我們依然建議項目方在處理預言機喂價方面要謹慎又謹慎，盡量從多個數據源取數據，而不要依賴單一數據源，無論這個單一的數據源在理論計算上看上去多么美好、多么健壯。

Tags：UNISWAPUniswapBZXuni幣值得投資嗎Uniswap Walletuniswap幣不見了bzx幣團隊

萊特幣