Uniswap v4 Hook机制:创新与挑战并存

Uniswap v4即将发布,这个版本将引入多项重大创新,包括支持每个交易对无限数量的流动性池和动态费用、单例设计、闪电记账、Hook机制,以及ERC1155代币标准支持。其中,Hook机制因其强大的潜力而备受关注。

Hook机制允许在流动性池生命周期的特定时点执行自定义代码,大大增强了池子的可扩展性和灵活性。然而,这种灵活性也带来了新的安全挑战。本文将系统介绍Hook机制相关的安全问题与潜在风险,以推动社区的安全发展。

Uniswap V4的核心机制

Uniswap v4的三个重要功能是Hook、单例架构和闪电记账。

Hook机制

Hook是在流动性资金池生命周期不同阶段运行的合约,可实现原生支持动态费用、添加链上限价单,或通过时间加权平均做市商(TWAMM)分散大订单。

目前有八个Hook回调,分为四组:

• beforeInitialize/afterInitialize
• beforeModifyPosition/afterModifyPosition
• beforeSwap/afterSwap
• beforeDonate/afterDonate

单例、闪电记账和锁机制

单例架构和闪电记账旨在提高性能。所有流动性池保存在同一个PoolManager智能合约中。

锁机制的运作方式如下:

1. locker合约在PoolManager上请求lock
2. PoolManager将该locker地址添加到队列,并调用其回调
3. locker合约执行逻辑,与池子交互可能导致非零货币增量
4. PoolManager检查队列和货币增量状态,验证后删除该locker

这种方法调整内部净余额,而非即时转账。实际转账在操作结束时进行,保证没有未清算代币。

外部账户不能直接与PoolManager交互,必须通过合约进行。主要有两种交互场景:

• 通过官方或用户部署的locker合约(路由器)
• locker合约和Hook集成到同一合约中

威胁模型

我们主要考虑两种威胁模型:

• 威胁模型I:Hook本身良性但存在漏洞
• 威胁模型II:Hook本身就是恶意的

威胁模型I中的安全问题

我们关注v4版本特有的潜在漏洞,主要分为两类:

• 保管用户资金的Hook
• 存储关键状态数据的Hook

研究发现的漏洞主要源于hook、PoolManager及外部第三方之间的风险交互,可分为:

• 访问控制问题
• 输入验证问题

在22个相关项目中,8个(36%)存在漏洞,其中6个存在访问控制问题,2个易受不受信任的外部调用影响。

访问控制问题

v4中的回调函数(8个hook回调和lock回调)应该只能被PoolManager调用。建立强大的访问控制机制至关重要。

输入验证问题

尽管有锁机制,仍存在潜在攻击场景:

• hook未验证用户交互的资金池
• 关键hook函数允许任意外部调用

这可能导致重入攻击等问题。

防范措施

• 对敏感函数实施必要的访问控制
• 验证输入参数
• 实施重入保护

威胁模型II中的安全问题

我们将Hook分为两类:

• 托管型Hook:用户通过路由器与hook交互
• 独立型Hook:用户直接与hook交互

托管型Hook

用户资产转给router。恶意hook难以直接窃取,但可能操纵费用管理机制。

独立型Hook

hook获得更多权力,可执行任意操作。主要风险:

• 可升级的代理
• 带有自毁逻辑

防范措施

• 评估hook是否恶意
• 关注托管型hook的费用管理行为
• 关注独立型hook是否可升级

结语

本文概述了Uniswap v4 Hook机制相关的核心机制和安全风险。Hook机制虽然创新,但也带来新的安全挑战。后续文章将对每种威胁模型下的安全问题进行深入分析。