Спільнота засумнівалася в безпеці токенів ERC-404

Токени ERC-404 продовжують набирати популярність, проте крипторозробники вказали на ризики безпеки експериментального стандарту, який ще не пройшов аудит.

Як працює ERC-404

Стандарт являє собою змішану реалізацію ERC-20/ERC-721, коли під час купівлі монети на гаманці також автоматично з’являється NFT. При цьому він дозволяє володіти дробовою частиною так званого «фракційного» невзаємозамінного токена.

«Мета ERC-404 полягає в тому, щоб дозволити торгувати NFT з більш надійною ліквідністю пулів взаємозамінних токенів. Вони домоглися цього, фактично зробивши перекази нижче певної суми (загальної кількості NFT) недійсними. Дивний вибір […]», — написав розробник і аудитор Solidity під ніком Quit.

Експерт провів аналіз коду ERC-404 і помітив безліч спільних деталей зі стандартами, узятими за основи. Зміни з’являються в механізмі підтвердження транзакцій.

Quit пояснив: якщо сума, яку надсилають, перебуває в «діапазоні викарбуваних токенів», відбувається переміщення активів у форматі ERC-721, за значення, вищого за нього, або нуль — в ERC-20.

Розробник також відзначив «дуже дороге обслуговування» функції, яка імітує ERC721Enumerable. Вона відповідає за відображення списку всіх токенів, що належать обліковому запису.

За його словами, передача NFT зі стандартної колекції Azuki коштує близько 45 000 Gwei, а трансфер токена Pandora — понад 100 000 Gwei.

«[В ERC-404] транзакція спалює/карбує NFT відповідно до змін балансу відправника/одержувача. У разі запису активу нам потрібен список невзаємозамінних токенів, що належать відправнику», — пояснив високу вартість газу Quit.

Згідно з офіційною сторінкою на GitHub, ERC-404 є експериментальним, і два комбіновані стандарти «не призначені для змішування». Однак розробники прагнуть об’єднати їх «настільки надійним чином, наскільки це можливо, мінімізуючи компроміси».

Проблеми безпеки

Після детального вивчення Quit звернув увагу на загрозу злому. Згідно з його аналізом, NFT NFT, що використовують ERC-404, уразливі для крадіжки з боку власників взаємозамінних токенів ERC-404.

Це можна здійснити в тому разі, якщо NFT було депоновано в протокол кредитування, неправильно налаштований для нового стандарту.

«Цю атаку я цілком очікую побачити в певний момент, якщо ERC-404 залишиться популярним. […] Урок полягає в тому, що нам не слід перевантажувати наявні сигнатури функцій новими, прихованими та неінтуїтивними механіками», — заявив Quit.

ERC-404 ще не затверджено Ethereum Foundation і спільнотою, а офіційна сторінка EIP на момент написання недоступна. При цьому програмний код не проходив аудиторських перевірок.

За експериментальним стандартом стоять анонімні розробники під псевдонімами ctrl і Acme. Під час бесіди з Cointelegraph вони заявили, що команда проєкту «працює цілодобово» для реєстрації EIP:

«Це тривалий процес, тут багато політики […] Зазвичай це займає кілька тижнів».

За їхніми словами, отримання схвалення для такого роду ініціативи — «одна з найбільш бюрократичних речей, яку можна уявити».

Відповідаючи на запитання про безпеку і можливі зломи, розробники переклали відповідальність на інші платформи, які «інтегрують і неправильно використовують контракт ERC-404».

«Це все одно, що опублікувати фотографію машини та пояснити, як вломитися в неї через відчинені двері», — додали вони.

Раніше ForkLog повідомляв, що значне зростання Pandora принесло трейдеру близько $1,2 млн за два дні.