JPYC.updatePauser_unauthorized
名称・種別
- 名称:
JPYC.updatePauser_unauthorized - 種別: theorem
- モジュール:
JpycFormalVerification.AccessControlTheorems - ソース:
JpycFormalVerification/AccessControlTheorems.lean:789-792 - 概要: owner でない呼び出し元は updatePauser を notOwner で revert する(権限・revert形)。
- 仕様: 対象
型シグネチャ
lean
∀ {s : JPYC.State} {ctx : JPYC.CallContext} {newPauser : JPYC.Address}, Ne s.owner ctx.sender → Eq (JPYC.updatePauser s ctx newPauser) (Except.error JPYC.Error.notOwner)呼び出し元がオーナーでなければ、updatePauser は notOwner で revert する、という認可(revert 形)定理です。
和訳 docstring
認可(revert)。 オーナー以外の呼び出しは updatePauser を notOwner で revert する。
解説
何を述べているか。 updatePauser(pauser ロールの付け替え)の onlyOwner 検査が 最初のガード であるため、呼び出し元がオーナーでないとき、関数は本体に一切触れずに Except.error .notOwner を返します。証明はガードの if を偽側(if_neg)に倒すだけです。
直感。 updatePauser_auth(成功 ⇒ 呼び出し元 = オーナー)の対偶を、具体的なエラー名つきで述べたものです。transferOwnership_unauthorized と同型で、ロール回転 4 関数(pauser/blocklister/minterAdmin/allowlister)の負側を埋めます。
なぜ安全性に効くか。 権限のない呼び出しが「失敗する」だけでなく「正しい理由(notOwner)で失敗する」ことまで固定します。オーナーだけがロールを付け替えられること、そしてエラーコードが Solidity の require メッセージと 1:1 対応していることの裏付けです。
図解
Lean ソースコード
lean
/-- **Authorization (revert).** A non-owner caller reverts `updatePauser` with `notOwner`. -/
theorem updatePauser_unauthorized {s : State} {ctx : CallContext} {newPauser : Address}
(h : s.owner ≠ ctx.sender) : updatePauser s ctx newPauser = .error .notOwner := by
unfold updatePauser onlyOwner req; rw [if_neg h]; rfl