Il y a actuellement deux alertes de sécurité signalées par GoPlus concernant le jeton $OVR. Hors contexte, celles-ci pourraient être assez inquiétantes. Nous aimerions clarifier et corriger cette erreur.
Le contexte
GoPlus exécute des analyses automatisées sur les codes de contrat intelligent de jeton et des fonctions qui, de par leur conception, ne prennent pas en compte la structure contrôlant le contrat intelligent de jeton ERC-20. Il y a une raison à cela : Bien que les contrôles sur la norme de jeton ERC-20 puissent être automatisés, les contrôles sur les structures de contrats intelligents arbitraires contrôlant le jeton ERC-20 lui-même ne peuvent pas être automatisés.
Malheureusement, une telle configuration conduit à une représentation incorrecte des risques sur tous les projets sur la base d’un jeton lancé avec l’IBCO. En effet, les mêmes alertes affectent également le jeton Avegotchi $GHST.
Nous avons informé GoPlus du problème, mais le rapport n’a pas été mis à jour.
Immersion technique
GoPlus vérifie simplement si le contrat ERC-20 est mintable ou non – s’il a la capacité de minter et de brûler des jetons dans des portefeuilles. Pourtant, GoPlus ne prend pas en compte qui est le propriétaire du contrat ERC-20, donc qui peut utiliser la capacité de minter ou de brûler des jetons.
Dans le cas d’OVER – et aussi d’Aavegotchi – c’est le contrat intelligent IBCO qui possède cette propriété et cette propriété ne peut pas être modifiée.
Les contrats intelligents IBCO sont basés sur Aragon Black Framework qui a été audité par Consensys. Sans compter que dans le cas d’OVERetd’Aavegotchi, les contrats IBCO sont arrêtés pour de bon.
Si vous n’êtes pas familier avec l’IBCO et sur comment et pourquoi il minte et brûle des jetons, vous pouvez vous référer àcet articleet à notreWhite Paper.
Ces faits peuvent également être vérifiés en regardant directement les contrats intelligents d’OVER. SEUL le contrat BatchedBancorMarketMaker (IBCO) peut créer et minter des jetons et il n’y a aucune possibilité de modifier cela.
Inspection du contrat intelligent OVR ERC-20: https://etherscan.io/address/0x21bfbda47a0b4b5b1248c767ee49f7caa9b23697#readContract#F5
Le propriétaire de l’OVR ERC-20 est l’adresse du contrat intelligent IBCO (BatchedBancorMarketMaker): 0x8c19cf0135852ba688643f57d56be72bb898c411
Parcourir le code source de ce contrat intelligent: https://etherscan.io/address/0x8c19cF0135852BA688643F57d56Be72bB898c411#contracts
Le seul call to burn de jetons OVR se produit lorsque quelqu’un ouvre un ordre de vente pour ensuite réclamer du DAI (collatéral):
Ligne 731 de BatchedBancorMarketMaker.sol
Enfin, le propriétaire du contrat intelligent lui-même ne peut pas déclencher la fonction de mint. Comme on peut le voir en vérifiant les appels en écriture, une telle fonction n’existe tout simplement pas : https://etherscan.io/address/0x8c19cF0135852BA688643F57d56Be72bB898c411#writeContract
Si vous avez des questions ou des doutes supplémentaires à ce sujet, veuillez nous contacter sur Telegram et Discord.
