Uniswap v4 скоро выйдет, и это обновление принесло множество инновационных функций, среди которых механизм Hook особенно привлекает внимание. Этот механизм позволяет выполнять пользовательский код на определенных узлах жизненного цикла ликвидного пула, что значительно улучшает масштабируемость и гибкость пула. Однако механизм Hook также может стать двусторонним мечом, его сложность неизбежно создает новые потенциальные проблемы с безопасностью.
Данная статья, являющаяся вступительной в серию, представит связанные с механизмом Hook концепции в Uniswap v4 и обрисует возможные риски безопасности.
Основные механизмы Uniswap v4
Основные инновации Uniswap v4 включают Hook, единичную архитектуру и молниеносную бухгалтерию. Эти функции предназначены для реализации пользовательских ликвидных пулов и эффективной маршрутизации через несколько пулов.
Механизм Hook
Hook это контракт, работающий на различных этапах жизненного цикла пула ликвидности. В настоящее время существует восемь Hook обратных вызовов, разделенных на четыре группы:
beforeInitialize/afterInitialize
передИзменениемПозиции/послеИзмененияПозиции
передОбменом/послеОбмена
передПожертвованием/послеПожертвования
Эти хуки могут реализовать такие функции, как динамические сборы, лимитные ордера на блокчейне и торговые механизмы с временным взвешиванием (TWAMM).
Одноразовая архитектура и молниеносная бухгалтерия
Архитектура Singleton и мгновенная бухгалтерия направлены на повышение производительности и эффективности. Все ликвидные пулы хранятся в одном и том же смарт-контракте, управляемом PoolManager.
Версия v4 вводит механизм блокировки, его рабочий процесс следующий:
запрос контракта locker lock
PoolManager добавляет адрес контракта locker в очередь и вызывает обратный вызов
логика исполнения контракта locker
PoolManager проверяет состояние и удаляет контракт locker
Этот механизм обеспечивает возможность расчета всех транзакций и предотвращает одновременный доступ.
Модель угроз
Мы в основном рассматриваем две модели угроз:
Хук сам по себе является благоприятным, но содержит уязвимости
Хук сам по себе злонамеренный
Проблемы безопасности в модели угроз I
В этой модели мы в основном сосредоточены на потенциальных уязвимостях, характерных для версии v4. Исследование показало, что существует две основные проблемы: проблемы контроля доступа и проблемы проверки ввода.
Проблема контроля доступа
Функции обратного вызова Hook должны вызываться только PoolManager. Если эти функции могут вызываться любым аккаунтом, это может привести к неправильному получению вознаграждений и другим проблемам.
Вопросы верификации ввода
Из-за существования механизма блокировки пользователи должны получать lock через контракт, чтобы выполнять операции с ликвидностью. Однако, если в реализации Hook вводные данные проверяются неправильно, это может привести к ненадежным внешним вызовам, что вызовет различные атаки.
! [Почему Hook является «обоюдоострым мечом» для Uniswap V4?] ](https://img-cdn.gateio.im/webp-social/moments-ba4bfa88e0ac0b6246e82ad879361ff3.webp)
Проблемы безопасности в модели угроз II
В этой модели мы предполагаем, что сам Hook является злонамеренным. В зависимости от способа доступа мы классифицируем Hook на два типа:
Хостинговый Hook: пользователи должны взаимодействовать с Hook через маршрутизатор.
Независимый Hook: пользователи могут напрямую взаимодействовать с Hook
Что касается управляемого Hook, основной риск заключается в том, что механизм управления затратами может быть подвержен манипуляциям. А для независимого Hook, если он обновляемый, он может стать злонамеренным после обновления.
Меры предосторожности
Для модели угроз I следует осуществить соответствующий контроль доступа к чувствительным функциям, проверить входные параметры и рассмотреть возможность добавления защиты от повторного входа.
Для модели угроз II, для управляемого Hook следует уделить внимание поведению управления затратами; для независимого Hook основное внимание следует уделить тому, является ли он обновляемым.
Заключение
Механизм Hook в Uniswap v4 принес огромные инновации, но также ввел новые проблемы безопасности. В следующих статьях мы подробно проанализируем конкретные проблемы безопасности в каждой модели угроз, чтобы способствовать безопасному развитию сообщества.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
6
Репост
Поделиться
комментарий
0/400
SleepyValidator
· 13ч назад
Когда же запустится Основная сеть? Я не могу дождаться, давайте скорее!
Посмотреть ОригиналОтветить0
CascadingDipBuyer
· 13ч назад
пускай лучше назовем это uni-бомбой
Посмотреть ОригиналОтветить0
SchrodingerAirdrop
· 13ч назад
v4 уже здесь, а мой v3 пул все еще теряет деньги.
Посмотреть ОригиналОтветить0
DefiOldTrickster
· 13ч назад
Еще один инструмент для клиповых купонов пришел! Hook играйте на полную катушку~
Посмотреть ОригиналОтветить0
Anon32942
· 13ч назад
v4 так играть - это взрыв!
Посмотреть ОригиналОтветить0
MemeKingNFT
· 13ч назад
hook вышел, uniswap v4, теперь ждем, когда будут играть для лохов... наполовину в ожидании
Механизм Hook Uniswap v4: двойной вызов инноваций и безопасности
Механизм Hook Uniswap v4: инновации и вызовы
Uniswap v4 скоро выйдет, и это обновление принесло множество инновационных функций, среди которых механизм Hook особенно привлекает внимание. Этот механизм позволяет выполнять пользовательский код на определенных узлах жизненного цикла ликвидного пула, что значительно улучшает масштабируемость и гибкость пула. Однако механизм Hook также может стать двусторонним мечом, его сложность неизбежно создает новые потенциальные проблемы с безопасностью.
Данная статья, являющаяся вступительной в серию, представит связанные с механизмом Hook концепции в Uniswap v4 и обрисует возможные риски безопасности.
Основные механизмы Uniswap v4
Основные инновации Uniswap v4 включают Hook, единичную архитектуру и молниеносную бухгалтерию. Эти функции предназначены для реализации пользовательских ликвидных пулов и эффективной маршрутизации через несколько пулов.
Механизм Hook
Hook это контракт, работающий на различных этапах жизненного цикла пула ликвидности. В настоящее время существует восемь Hook обратных вызовов, разделенных на четыре группы:
Эти хуки могут реализовать такие функции, как динамические сборы, лимитные ордера на блокчейне и торговые механизмы с временным взвешиванием (TWAMM).
Одноразовая архитектура и молниеносная бухгалтерия
Архитектура Singleton и мгновенная бухгалтерия направлены на повышение производительности и эффективности. Все ликвидные пулы хранятся в одном и том же смарт-контракте, управляемом PoolManager.
Версия v4 вводит механизм блокировки, его рабочий процесс следующий:
Этот механизм обеспечивает возможность расчета всех транзакций и предотвращает одновременный доступ.
Модель угроз
Мы в основном рассматриваем две модели угроз:
Проблемы безопасности в модели угроз I
В этой модели мы в основном сосредоточены на потенциальных уязвимостях, характерных для версии v4. Исследование показало, что существует две основные проблемы: проблемы контроля доступа и проблемы проверки ввода.
Проблема контроля доступа
Функции обратного вызова Hook должны вызываться только PoolManager. Если эти функции могут вызываться любым аккаунтом, это может привести к неправильному получению вознаграждений и другим проблемам.
Вопросы верификации ввода
Из-за существования механизма блокировки пользователи должны получать lock через контракт, чтобы выполнять операции с ликвидностью. Однако, если в реализации Hook вводные данные проверяются неправильно, это может привести к ненадежным внешним вызовам, что вызовет различные атаки.
! [Почему Hook является «обоюдоострым мечом» для Uniswap V4?] ](https://img-cdn.gateio.im/webp-social/moments-ba4bfa88e0ac0b6246e82ad879361ff3.webp)
Проблемы безопасности в модели угроз II
В этой модели мы предполагаем, что сам Hook является злонамеренным. В зависимости от способа доступа мы классифицируем Hook на два типа:
Что касается управляемого Hook, основной риск заключается в том, что механизм управления затратами может быть подвержен манипуляциям. А для независимого Hook, если он обновляемый, он может стать злонамеренным после обновления.
Меры предосторожности
Для модели угроз I следует осуществить соответствующий контроль доступа к чувствительным функциям, проверить входные параметры и рассмотреть возможность добавления защиты от повторного входа.
Для модели угроз II, для управляемого Hook следует уделить внимание поведению управления затратами; для независимого Hook основное внимание следует уделить тому, является ли он обновляемым.
Заключение
Механизм Hook в Uniswap v4 принес огромные инновации, но также ввел новые проблемы безопасности. В следующих статьях мы подробно проанализируем конкретные проблемы безопасности в каждой модели угроз, чтобы способствовать безопасному развитию сообщества.