Zero Cipher

Zero Cipher

215個推特粉絲

關注

Blockchain Security Researcher. Open for Audits. Resident @cantina

動態

Uniswap v4 鉤子是一個巨大的全新攻擊面。大多數開發者看到的是靈活性，而我看到的是風險。在 v3 版本中，資金池邏輯較為僵化，但經過了實戰檢驗。而在 v4 版本中，Hooks 允許開發者在關鍵節點注入自定義邏輯——例如在交易前、交易後以及流動性變化期間。惡意 Hook 可以： - 將交換的令牌重定向到攻擊者地址 - 阻止執行以鎖定用戶資產 - 通過操縱動態費用從有限合夥人身上榨取價值 “動態費用欺詐”手段十分隱蔽。如果一個 Hook 可以根據發送方或資金池狀態改變費用，它就能從每筆交易中榨取利益。大多數審核 v4 集成的審計人員都專注於核心協議邏輯。他們認為 Hooks 是安全的，因為它們“只是自定義邏輯”。但 Hook 的執行依賴於信任。它們會訪問關鍵的資源池狀態。惡意 Hook 會像任何重入漏洞一樣有效地耗盡用戶資源。如果你使用的是 v4 版本，那麼你的 Hook 就不是一個功能，而是一個安全接口。

-- 到底啦 --