Fairyproof发布了关于以太坊4626提案安全问题的报告,称该EIP要求代币化的金库必须实现ERC-20来表示份额,并添加新的接口来在可见函数和传输函数中将份额转换为代币或将代币转换为份额。因此基于此EIP实施代币化的金库时应注意以下风险:1.有可能会出现符合这个EIP定义的接口但不符合规范的恶意合约,审计人员需提前仔细检查。2.虽然此EIP规定实施者若直接支持EOA账户访问需添加额外的存款/铸币/提款/赎回函数调用,以适应滑点损失或意外的存提款限制,但忽略了代币在转账时被烧毁的情况,一些DeFi应用程序使用这种机制来减少其代币的流通供应量并抬高代币的价格。所以建议ERC-4626金库不允许将此类代币存入金库。3.建议使用Uniswap引入的时间加权平均算法以减轻链上信息被操纵风险。4.该EIP规定了金库实施者计算金库分额或数据,以及将份额转换为资产或资产转换为份额时采用不同的舍入方式,有的需向下取整,有的四舍五入,审计人员在审计此EIP时需注意确保始终有足够数量的底层代币用于转移。5.应注意兼容性问题,替代代币可能会引入问题或风险,需仔细地审查和审计基于替代标准的实施。据悉,EIP-4626旨在将所有 DeFi 金库标准化,统一为ERC-20形式的 代币,将提供铸造、存取和读取余额等功能,同时能降低各项目金库的集成工作量。此前3月18日消息,EIP-4626已通过以太坊开发团队审核,将成为未来分叉升级的一部分。