JPYC.removeMinter_unauthorized
名称・種別
- 名称:
JPYC.removeMinter_unauthorized - 種別: theorem
- モジュール:
JpycFormalVerification.AccessControlTheorems - ソース:
JpycFormalVerification/AccessControlTheorems.lean:345-348 - 概要: minterAdmin でない呼び出し元の removeMinter は notMinterAdmin で revert する。
- 仕様: 対象
型シグネチャ
lean
∀ {s : JPYC.State} {ctx : JPYC.CallContext} {minter : JPYC.Address}, Ne ctx.sender s.minterAdmin → Eq (JPYC.removeMinter s ctx minter) (Except.error JPYC.Error.notMinterAdmin)呼び出し元がminterAdminでなければ、removeMinter は notMinterAdmin で revert する、という認可(revert 形)定理です。
和訳 docstring
認可(revert)。 管理者以外の removeMinter 呼び出しは notMinterAdmin で revert する。
解説
何を述べているか。 removeMinter のロール検査が 最初のガード であるため、呼び出し元がminterAdminでないとき、関数は本体に一切触れずに Except.error .notMinterAdmin を返します。証明はガードの if を偽側(if_neg)に倒すだけです。
直感。 *_auth の対偶を、具体的なエラー名つきで述べたものです。「権限がなければ、ちょうどこのエラーで弾かれる」を保証します。
なぜ安全性に効くか。 権限のない呼び出しが「失敗する」だけでなく「正しい理由で失敗する」ことまで固定します。エラーコードが Solidity の require メッセージと 1:1 対応していることの裏付けにもなります。
図解
Lean ソースコード
lean
/-- **Authorization (revert).** A non-admin caller reverts `removeMinter` with `notMinterAdmin`. -/
theorem removeMinter_unauthorized {s : State} {ctx : CallContext} {minter : Address}
(h : ctx.sender ≠ s.minterAdmin) : removeMinter s ctx minter = .error .notMinterAdmin := by
unfold removeMinter onlyMinterAdmin req; rw [if_neg h]; rfl