crytic/slither

Slither claims an upgradeTo function is exposed when it (likely?) is not

Open

#1 136 ouverte le 19 mars 2022

Voir sur GitHub
 (9 commentaires) (0 réactions) (0 assignés)Python (886 forks)batch import
enhancementgood first issue

Métriques du dépôt

Stars
 (4 769 stars)
Métriques de merge PR
 (Merge moyen 54j 9h) (2 PRs mergées en 30 j)

Description

Describe the issue:

When running Slither on this UUPS upgradeable contract](https://github.com/OpenQDev/OpenQ-Contracts/blob/development/contracts/OpenQ/Implementations/OpenQV0.sol), it triggers the unprotected-upgradeable-contract critical warning as shown below:

However, the latest OpenZeppelin UUPSUpgradeable.sol does indeed protect its upgradeTo method with both onlyProxy, as well as an optional _authorizeUpgrade method which I have onlyOwnered as seen here.

So I believe that only an owner calling via the proxy will be able to call upgradeTo....unless I'm wrong and missing something and Slither is doing its wonderful job 😅.

Code example to reproduce the issue:

git clone https://github.com/OpenQDev/OpenQ-Contracts.git cd OpenQ-Contracts solc-select use 0.8.12 slither . --exclude-dependencies

Version:

slither 0.8.2

Relevant log output:

OpenQV0 (contracts/OpenQ/Implementations/OpenQV0.sol#18-254) is an upgradeable contract that does not protect its initiliaze functions: OpenQV0.initialize(address) (contracts/OpenQ/Implementations/OpenQV0.sol#30-35). Anyone can delete the contract with: UUPSUpgradeable.upgradeTo(address) (node_modules/@openzeppelin/contracts-upgradeable/proxy/utils/UUPSUpgradeable.sol#72-75)UUPSUpgradeable.upgradeToAndCall(address,bytes) (node_modules/@openzeppelin/contracts-upgradeable/proxy/utils/UUPSUpgradeable.sol#85-88)Reference: https://github.com/crytic/slither/wiki/Detector-Documentation#unprotected-upgradeable-contract

Guide contributeur

Direction de recherche
Examinez la logique du détecteur 'unprotected upgradeable contract' dans le code source de Slither (probablement dans le module detectors). Consultez le fichier OpenZeppelin UUPSUpgradeable.sol référencé pour confirmer que upgradeTo est protégé par le modificateur onlyProxy et l'optionnel authorizeUpgrade. Vérifiez les commentaires de l'issue pour toute réponse des mainteneurs ou contexte supplémentaire. Déterminez ensuite si le faux positif est dû au fait que Slither ne reconnaît pas le modificateur onlyProxy ou la surcharge de authorizeUpgrade.
Stack technique
python
Domaine
securitytooling
Type d'issue
Bug
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
2
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
1-3 heures
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
Active
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
Claire
Prérequis
SolidityPython
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
70