Quels sont les crochets

Les crochets, ou programmation par crochet, est un modèle de programmation qui permet aux développeurs d'insérer du code personnalisé dans le chemin d'exécution d'un système, d'une application ou d'une bibliothèque à travers des crochets, qui sont des fonctions prédéfinies ou des blocs de code. Il n'est pas nécessaire de modifier le code original. Les crochets sont souvent utilisés dans de nombreux environnements de programmation et cadres, tels que les systèmes d'exploitation, les cadres et bibliothèques, le développement web et les systèmes de plug-ins.

En utilisant des Hooks, les développeurs peuvent augmenter la scalabilité et la personnalisabilité du programme sans avoir à modifier le code original pour chaque changement ou expansion, ce qui aide à maintenir le code propre et stable. Les Hooks fournissent une méthode d'implémentation élégante pour l'extension logicielle et sont un modèle de programmation très utile dans la conception logicielle.

En particulier, l'AOP (Aspect-oriented Programming) est souvent comparée à la programmation Hook. L'AOP est un paradigme de programmation modulaire qui met en œuvre des préoccupations transversales, et l'objectif n'est pas de modifier la logique métier principale. Il améliore ou modifie la fonctionnalité si nécessaire. Je ne vais pas développer l'AOP en détail ici. Vous pouvez simplement penser à l'AOP comme une abstraction de niveau supérieur de la programmation HooK.

Uniswap V4: Révolution des Hooks

En juin 2023, Uniswap a annoncé et rendu public une version préliminaire du livre blanc d'Uniswap V4. Une caractéristique importante d'Uniswap V4 est l'introduction de Hooks.

Les crochets ont été largement utilisés dans les systèmes financiers Web2, car ces systèmes nécessitent généralement un haut degré de personnalisation et de scalabilité. Les scénarios personnalisés, tels que le traitement des transactions, utilisent des crochets pour insérer une logique de vérification supplémentaire avant et après l'exécution de la transaction, tels que la vérification secondaire, la détection des contrôles de risque et les stratégies de lutte contre le blanchiment d'argent (AML). Les scénarios de scalabilité comprennent l'intégration avec des API externes ou des microservices via des crochets pour étendre de nouvelles fonctions dans le système financier, telles que les services d'authentification d'identité, la conversion des taux de change, les passerelles de paiement, etc. Mais en introduisant des crochets dans DeFi, Uniswap a créé un précédent.

Les Hooks Uniswap V4 sont essentiellement un contrat externe créé et défini par les développeurs. Lorsqu'un pool de liquidité est créé, vous pouvez choisir de lier un contrat Hook. Ensuite, le pool de liquidité appellera le contrat Hook lié précédemment pour effectuer des opérations spécifiées à différentes étapes du cycle de vie, offrant un haut degré de personnalisation. Les développeurs peuvent utiliser les Hooks d'Uniswap pour répondre à des scénarios de trading plus personnalisés et construire des DApps avec des fonctions plus riches, telles que:

• Frais dynamiques : Grâce aux Hooks, les pools de liquidité peuvent ajuster dynamiquement les frais en fonction de la volatilité du marché ou d'autres paramètres d'entrée pour mieux s'adapter aux conditions du marché;
• Ordres limités sur chaîne : Les hooks peuvent créer et exécuter des ordres limités sur la chaîne, permettant aux utilisateurs de trader à des prix spécifiés;
• Time Weighted Average Market Maker (TWAMM): Utilise le mécanisme des Hooks pour créer un pool de liquidité qui soutient la stratégie TWAMM afin de répartir de manière égale les transactions de gros ordres sur une période.

Actuellement, Uniswap V4 prend en charge quatre groupes de rappels Hook, chaque groupe contient une paire de rappels :

• beforeInitialize/afterInitialize: Initialiser le pool de liquidité;
• avantModifierPosition/aprèsModifierPosition: ajouter/réduire/supprimer liquidité;
• avantSwap/aprèsSwap: échanger;
• beforeDonate/afterDonate: Donation (une nouvelle fonctionnalité introduite par Uniswap V4, pourboire les fournisseurs de liquidités dans le cadre des échanges).

Le diagramme suivant illustre le processus de Hook beforeSwap/afterSwap tel que présenté dans le livre blanc. On peut observer qu'avant et après l'exécution de l'échange, il vérifie d'abord si le drapeau correspondant du Hook du pool de liquidité est activé. S'il est activé, il appellera alors les fonctions correspondantes du contrat Hook.

Ces Hooks peuvent être exécutés avant le début d'un échange et après la fin d'un échange, permettant une fonctionnalité similaire à des ordres limites sur chaîne. L'utilisateur place un ordre limite sur le contrat Hook, puis utilise un oracle personnalisé ou géré dans le rappel afterSwap pour déterminer si le prix atteint la limite. Si c'est le cas, la transaction sera exécutée. Sinon, la transaction sera annulée.

Uniswap V4 lie étroitement la liquidité au développement de l'application DApp elle-même grâce aux Hooks. Cela améliore les fonctions de l'application DApp et renforce également l'effet réseau d'Uniswap, en faisant de celle-ci l'infrastructure sous-jacente de l'ensemble de l'écosystème DeFi.

Problèmes de sécurité des crochets Uniswap V4

L'équipe BlockSec a exploré les risques de sécurité du mécanisme des Hooks dans Uniswap V4. En plus du fait que le contrat Hook lui-même est malveillant, les contrats de Hook bénins sont également extrêmement sujets aux vulnérabilités. L'équipe BlockSec a analysé le référentiel Awesome Uniswap v4 Hooks (hachage de commit 3a0a444922f26605ec27a41929f3ced924af6075) et a constaté que plus de 30% des projets du référentiel étaient vulnérables. Ces vulnérabilités proviennent principalement des interactions à risque entre Hook, PoolManager et des tiers externes, et peuvent être principalement divisées en deux catégories :

• Problèmes de contrôle d'accès : La principale préoccupation concerne les fonctions de rappel dans Uniswap V4. Ces fonctions ne doivent être appelées que par PoolManager et ne peuvent pas être appelées par d'autres adresses (y compris EOA et contrats). Par exemple, dans le cas où les récompenses sont distribuées par des clés de pool, les récompenses peuvent être réclamées de manière incorrecte si la fonction correspondante peut être appelée par n'importe quel compte. Par conséquent, les Hooks doivent établir des mécanismes de contrôle d'accès solides, d'autant plus qu'ils peuvent être appelés par d'autres parties en dehors du pool lui-même;
• Entrez la question de vérification : Divers types d'attaques, y compris les attaques de rentrée bien connues, résultent d'une validation d'entrée incorrecte dans certaines implémentations de Hook vulnérables. La situation la plus courante est que des contrats externes non fiables sont appelés dans certaines fonctions clés de Hook. Afin d'attaquer ces Hooks vulnérables, l'attaquant peut enregistrer un pool de fonds malveillant pour ses propres jetons factices, puis appeler le Hook pour utiliser les fonds. Pool effectue des opérations. Lors de l'interaction avec le pool, la logique de jeton malveillante détourne le flux de contrôle afin de se livrer à un comportement indésirable.

Même si un contrôle d'accès nécessaire aux fonctions externes/publiques sensibles est correctement implémenté et que les paramètres d'entrée sont vérifiés pour réduire les risques de sécurité liés aux deux types de Hooks ci-dessus, la vulnérabilité du contrat lui-même ne peut pas être complètement évitée, surtout si le Hook est mis à niveau. Si le contrat est implémenté, vous pouvez également rencontrer des problèmes similaires à la vulnérabilité UUPSUpgradeable d'OpenZeppelin.

La raison réside dans le fait que la programmation Hook augmente la complexité des contrats intelligents, élargissant ainsi la surface d'attaque. Pour les contrats intelligents réguliers, OpenZeppelin fournit une série de bibliothèques de bonnes pratiques pour garantir que les contrats développés sur cette base sont sécurisés. Cependant, fondamentalement, cela ajoute des "contraintes d'utilisation de sécurité" pour les développeurs. En comparaison, les contrats Hook nécessitent des "contraintes d'utilisation de sécurité" encore plus strictes que les contrats réguliers. Par conséquent, pour que la programmation Hook soit largement appliquée, un cadre complet est nécessaire : cela nécessite un environnement d'exécution sécurisé, des paradigmes de programmation applicables pour les Hooks et des contraintes d'utilisation plus strictes.

Artela Aspect: Support au niveau du protocole pour la programmation par Hook

Les hooks Uniswap V4 sont mis en œuvre à travers des contrats intelligents, et ses problèmes de sécurité sont également causés par les limitations des contrats intelligents. Existe-t-il une solution qui prend en charge la programmation de hooks au niveau du protocole ? Artela Aspect nous donne la réponse !

Artela est un réseau blockchain de couche 1 hautement évolutif et performant compatible avec l'EVM, conçu pour permettre aux développeurs de construire des applications modulaires, riches en fonctionnalités, évolutives et personnalisables. Artela définit un nouveau module programmable comme une extension native appelée Aspect, qui introduit de manière innovante l'AOP dans le réseau blockchain. Aspect doit spécifier un point de connexion, c'est-à-dire l'emplacement où Aspect est exécuté dans tout le cycle de vie du traitement des transactions. Tout comme le callback de Hook, les points de connexion comprennent :

• Initialisation de bloc
• Vérification de transaction
• Pré Exécuter
• Exécuter après
• Bloc Finalisé

Aspect prend actuellement uniquement en charge TypeScript, et son code est compilé en bytecode WebAssembly (WASM) et déployé sur le réseau Artela. Après le déploiement d'Aspect, les propriétaires de contrats intelligents peuvent lier leurs contrats avec Aspect. Un propriétaire de contrat intelligent est défini comme une adresse de compte externe (EOA) qui peut passer la vérification isOwner(address) qui renvoie (booléen) dans le contrat intelligent.

Par la suite, les transactions ultérieures appelant le contrat intelligent seront traitées par Aspect, comme le montre le diagramme ci-dessous :

En tant qu'implémentation des Hooks au niveau du protocole, Artela Aspects présente de grands avantages par rapport aux Hooks Uniswap V4 :

Tout d'abord, Artela Aspects utilise WASM pour exécuter son code, et l'efficacité de l'exécution est plusieurs ordres de grandeur supérieure à celle de l'EVM;

Deuxièmement, Artela Aspects peut accrocher le cycle de vie complet de la transaction, pas seulement la logique de base de DeFi, et peut construire des DApps avec des fonctions plus riches;

Enfin, et surtout, Artela Aspects s'exécute de manière indépendante dans un environnement sandbox sécurisé. Cette isolation garantit que l'exécution des Aspects n'affectera pas la sécurité de l'exécution du contrat.

L'isolement des aspects d'Artela limite les appels mutuels entre le contrat Hook en tant que contrat normal et d'autres contrats externes, résolvant le problème tenace du contrôle d'accès et de la vérification des entrées des Hooks Uniswap V4. Pour les contrats DeFi comme Uniswap, vous pouvez profiter d'une expérience Hook plus rapide, plus forte et plus sûre en le déployant sur Artela.

Résumé

En tant que participant important et leader de l'industrie DeFi, Uniswap a joué un rôle crucial dans la progression de l'industrie et l'amélioration de la fonctionnalité. L'introduction des Hooks dans Uniswap V4 définit incontestablement la direction du développement des DEX et est avidement imitée par les successeurs.

Cependant, les hooks Uniswap V4 sont limités par les contraintes inhérentes des contrats intelligents. Peu importe la robustesse de la conception du protocole et la complétude des outils, il ne peut pas empêcher fondamentalement l'invocation mutuelle entre les contrats Hook et les contrats externes, ce qui pose des vulnérabilités potentielles en matière de sécurité.

Artela, en tant que réseau blockchain de couche 1 compatible avec l'EVM et haute performance, a conçu Aspect pour fonctionner de manière indépendante en WASM depuis l'origine du protocole, prenant en charge nativement la programmation Hook. Cela améliore grandement la sécurité, offrant une solution avancée pour les protocoles DeFi qui considèrent la sécurité comme primordiale.

Déclaration :

1. Cet article intitulé à l'origine "Evolution des crochets DeFi : de la sécurité du contrat Uniswap V4 au protocole natif d'Artela" est reproduit à partir de [Gate.io].Web3 de Petit Cochon]. Tous les droits d'auteur appartiennent à l'auteur original [web3朱大胆]. If you have any objection to the reprint, please contact the Porte Apprendrel'équipe, l'équipe s'en occupera dès que possible.

2. Avertissement : Les points de vue et opinions exprimés dans cet article ne représentent que les opinions personnelles de l'auteur et ne constituent aucun conseil en investissement.

3. Les traductions de l'article dans d'autres langues sont réalisées par l'équipe Gate Learn. Sauf mention contraire, copier, distribuer ou plagier les articles traduits est interdit.