Nově implementovaný bug bounty program společnosti Uniswap zaznamenal obrovský úspěch, protože pomohl odhalit a následně vyřešit existující zranitelnost v jeho smart kontraktu Universal Router.
Dvě nové chytré smlouvy, Permit2 a Universal Router, byly vydány již v listopadu 2022. Prostřednictvím sdílení a správy schvalování tokenů poskytuje inteligentní smlouva Permit2 aplikacím přístup k řadě funkcí bezpečné autorizace. Na druhou stranu Universal Router kompiluje transakce ERC-20 a NFT do jediného swapového routeru, což Uniswapu poskytuje efektivnější metodu pro výměnu mezi různými typy kryptoměn.
Se zavedením těchto nových smart kontraktů Uniswap také oznámil program bug bounty, který by platformě pomohl odhalit případné zranitelnosti. Jak se trh s digitální měnou a blockchainem neustále vyvíjí, odměny za chyby se staly pro firmy způsobem, jak zajistit, aby jejich software, systémy a kritická infrastruktura byly bezpečné.
Bezpečnostní auditorská společnost DeFi Dedaub byla mezi prvními, kteří obdrželi velké ocenění za svou práci na identifikaci zranitelnosti na smart kontraktu Universal Router. Tato zranitelnost byla označena jako schopnost povolit opakovaný vstup během doby potvrzení transakce, čehož by mohli využít aktéři ohrožení k následnému vyčerpání prostředků z peněženky.
Tým Dedaub odhalil kritickou zranitelnost týmu Uniswap!
Finanční prostředky jsou v bezpečí – Uniswap problém vyřešil a znovu nasadil chytré smlouvy Universal Router ve všech svých řetězcích 👏
Tato zranitelnost umožňuje opětovnému vstupu odčerpat finanční prostředky uživatele uprostřed TX.
— Dedaub (@dedaub) Ledna 2, 2023
Dedaub vysvětluje, že Universal Router poskytuje uživatelům možnost provádět mnoho transakcí najednou, jako je výměna více tokenů a NFT najednou. Integrovaný skriptovací jazyk routeru je schopen provádět širokou škálu tokenových aktivit včetně převodů externím příjemcům. Při správném postupu krok za krokem by tyto prostředky byly doručeny ihned, pokud by transakce splňovala kritéria stanovená parametry smart kontraktu.
Podle návrhu to znamená, že kód třetí části, když je vyvolán během přenosu, by mohl kódu umožnit znovu vstoupit do Universal Router a spravovat nebo stahovat tokeny, které jsou na smart kontraktu na dočasné období. To přimělo Dedaubovy whitehaty k tomu, aby společnosti Uniswap doporučili řešení, které zahrnovalo záplatu inteligentní smlouvy pomocí zámku pro návrat jádra modulu Universal Router.
Uniswap pak rychle udělil 40,000 XNUMX $ týmu Dedaub za jejich rychlé odhalení. Podle Uniswap byl problém středně závažný, zatímco další posouzení zranitelnosti poukázalo na scénář s nízkou pravděpodobností a velkým dopadem. Dedaub potvrzuje, že vektor útoku lze považovat za chybu na straně uživatele, protože k tomuto scénáři dojde pouze v případě, že uživatel přímo odešle NFT nedůvěryhodnému příjemci.
Zřeknutí se odpovědnosti: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.
Zdroj: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability