報告：實施以太坊EIP-4626時應注意仔細審查是否存在惡意合約等問題

Fairyproof發布了關于以太坊4626提案安全問題的報告，稱該EIP要求代幣化的金庫必須實現ERC-20來表示份額，并添加新的接口來在可見函數和傳輸函數中將份額轉換為代幣或將代幣轉換為份額。

因此基于此EIP實施代幣化的金庫時應注意以下風險：1.有可能會出現符合這個EIP定義的接口但不符合規范的惡意合約，審計人員需提前仔細檢查。2.雖然此EIP規定實施者若直接支持EOA賬戶訪問需添加額外的存款/鑄幣/提款/贖回函數調用，以適應滑點損失或意外的存提款限制，但忽略了代幣在轉賬時被燒毀的情況，一些DeFi應用程序使用這種機制來減少其代幣的流通供應量并抬高代幣的價格。所以建議ERC-4626金庫不允許將此類代幣存入金庫。3.建議使用Uniswap引入的時間加權平均算法以減輕鏈上信息被操縱風險。4.該EIP規定了金庫實施者計算金庫分額或數據，以及將份額轉換為資產或資產轉換為份額時采用不同的舍入方式，有的需向下取整，有的四舍五入，審計人員在審計此EIP時需注意確保始終有足夠數量的底層代幣用于轉移。5.應注意兼容性問題，替代代幣可能會引入問題或風險，需仔細地審查和審計基于替代標準的實施。據悉，EIP-4626旨在將所有 DeFi 金庫（Vault）標準化，統一為ERC-20形式的 代幣，將提供鑄造、存取和讀取余額等功能，同時能降低各項目金庫的集成工作量。此前3月18日消息，EIP-4626已通過以太坊開發團隊審核，將成為未來分叉升級的一部分。