Nedávno spuštěný program bug bounty společnosti Uniswap vedl k odhalení již opravené zranitelnosti inteligentní smlouvy protokolu Universal Router.
Automatizovaný tvůrce trhu propuštěn dva nové smart kontrakty na svou platformu v listopadu 2022. Permit2 umožňuje sdílení a správu schvalování tokenů napříč různými aplikacemi, zatímco Universal Router sjednocuje výměnu ERC-20 a nezaměnitelných tokenů (NFT) do jediného swapového routeru.
Uniswap také inzeroval lukrativní program odměn za chyby, aby identifikoval potenciální zranitelnosti ve svých chytrých smlouvách ke konci roku 2022, protože se snažil zajistit bezpečnost a účinnost svého protokolu.
Společnost Dedaub pro zabezpečení a audit chytrých smluv oznámila, že obdržela odměnu za chyby poté, co označila zranitelnost v inteligentní smlouvě Universal Router, která by umožnila opětovnému vstupu odčerpat uživatelské prostředky uprostřed transakce.
Tým Dedaub odhalil kritickou zranitelnost týmu Uniswap!
Finanční prostředky jsou v bezpečí – Uniswap problém vyřešil a znovu nasadil chytré smlouvy Universal Router ve všech svých řetězcích
Tato zranitelnost umožňuje opětovnému vstupu odčerpat finanční prostředky uživatele uprostřed TX.
— Dedaub (@dedaub) Ledna 2, 2023
Podle rozdělení společnosti Dedaub umožňuje univerzální směrovač uživatelům provádět různé akce včetně výměny více tokenů a NFT v jedné transakci.
Směrovač obsahuje skriptovací jazyk pro širokou škálu akcí tokenů, které mohou zahrnovat přenosy příjemcům třetích stran. Při správné implementaci by převody šly příjemci v rámci specifikovaných parametrů.
Související: Immunefi říká, že od svého založení umožnilo odměny za chyby ve výši 66 milionů dolarů
Dedaub však identifikoval zranitelnost, při které byl během přenosu vyvolán kód třetí strany, což kódu umožnilo znovu vstoupit do Universal Router a nárokovat jakékoli tokeny, které byly dočasně ve smlouvě.
Dedaub poté navrhl přímou nápravu a poradil týmu Uniswap, aby do jádra nového routeru přidal reentrancy lock. Uniswap udělil auditorské firmě celkem 40,000 33 USD za označení chyby zabezpečení. Částka zahrnovala 2022% bonus za nahlášení problému během bonusového období Uniswapu v listopadu XNUMX.
Uniswap klasifikoval problém jako středně závažný, zatímco další posouzení usoudilo, že zranitelnost má vysoký dopad a nízkou pravděpodobnost. Podle Dedauba byla možnost uživatele odeslat NFT přímo nedůvěryhodnému příjemci považována za chybu uživatele.
Složitější a méně pravděpodobné scénáře byly považovány za platné pro reentrancy, což vedlo k tomu, že Uniswap považoval vektor za málo pravděpodobný. Cointelegraph oslovil Uniswap, aby zjistil další podrobnosti o svém probíhajícím odměnovém programu, vyplacených částkách a počtu dosud zjištěných chyb.
Odměny za chyby se staly samozřejmostí v kryptoměnovém a blockchainovém prostoru, protože platformy a společnosti se snaží zajistit bezpečnost svého softwaru, systémů a infrastruktury.
Kryptoměnová směnárna Coinbase nedávno objasnil podmínky svého bug bounty, zatímco blockchain bezpečnostní firma Immunefi má zprostředkovala více než 65 milionů dolarů hodnota odměn za chyby mezi etickými hackery a firmami Web3 v roce 2022.
Zdroj: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability