Le mécanisme Hook de Uniswap v4 : Opportunités et défis coexistent

Uniswap v4 est sur le point de sortir, et le mécanisme Hook est un de ses principaux attraits. Cette fonctionnalité innovante permet d'exécuter du code personnalisé à des moments clés dans les pools de liquidité, augmentant considérablement la flexibilité et l'évolutivité du système. Cependant, la complexité du mécanisme Hook pose également de nouveaux défis en matière de sécurité.

Mécanisme central d'Uniswap v4

Uniswap v4 introduit trois fonctionnalités importantes : Hook, architecture singleton et comptabilité instantanée.

Mécanisme Hook

Hook est un contrat exécuté à différents stades du cycle de vie d'un pool de liquidités. Il y a actuellement 8 rappels Hook, divisés en 4 groupes :

• avantInitialiser/aprèsInitialiser
• avantModifierPosition/aprèsModifierPosition
• avantÉchange/aprèsÉchange
• avantFaireUnDon/aprèsFaireUnDon

Architecture en singleton et comptabilité instantanée

La version 4 utilise un contrat singleton pour gérer toutes les piscines de liquidité et introduit la comptabilité instantanée et un mécanisme de verrouillage. Lors de l'opération, seul le solde net interne est ajusté, le transfert réel étant effectué à la fin de l'opération.

mécanisme de verrouillage

1. demande de contrat locker lock
2. PoolManager ajoute le locker à la file d'attente et rappelle.
3. logique d'exécution du locker, interaction avec le pool
4. PoolManager vérifie l'état et retire le locker

Les comptes externes ne peuvent pas interagir directement avec PoolManager, ils doivent passer par un contrat.

Modèle de menace

Nous considérons principalement deux modèles de menace :

• Modèle I : Hook lui-même est sain mais présente des vulnérabilités
• Modèle II : Hook lui-même malveillant

problèmes de sécurité dans le modèle I

Il existe principalement deux types de problèmes :

1. Problème de contrôle d'accès : la fonction de rappel Hook peut être appelée par des adresses non autorisées.

2. Problème de validation des entrées : Un manque de validation peut entraîner des appels externes non fiables.

problèmes de sécurité dans le modèle II

Divisé en deux catégories Hook:

1. Hook de type hébergé : les utilisateurs interagissent via le routeur, le risque est relativement faible

2. Type de Hook indépendant : interaction directe des utilisateurs, risque plus élevé

Pour les Hook indépendants, le principal risque réside dans la possibilité de mise à niveau.

Mesures de prévention

1. Modèle I:

   • Mettre en œuvre un contrôle d'accès strict
   • Vérifier les paramètres d'entrée
   • Utiliser la protection contre les réentrées

2. Modèle II :

   • Évaluer si Hook est malveillant
   • Suivre les comportements de gestion des coûts et la scalabilité

Le mécanisme Hook apporte un potentiel énorme à Uniswap v4, mais il introduit également de nouveaux défis en matière de sécurité. Les développeurs et les utilisateurs doivent rester vigilants et prendre les mesures de sécurité nécessaires pour tirer pleinement parti des avantages de Hook tout en réduisant les risques potentiels.