Tech

UniSwap Universal Router byl zranitelný vůči re-entrancy útokům

01/04/2023
Zprávy o bitcoinovém ethereu

Dedaubův tým nedávno odhalil zranitelnost smluv UniSwap, která mohla ohrozit některé uživatele.

Chyba zabezpečení UniSwap

V nedávném tweetu Dedaub odhalil, že objevil chybu ve smlouvách UniSwap a informoval je o zranitelnosti. Po obdržení zpětné vazby „UniSwap problém vyřešil a znovu nasadil chytré smlouvy Universal Router ve všech svých řetězcích.“

Obraz

Podle Tweet od Dedauba, tato zranitelnost připravila cestu pro re-entrancy útoky, které by odčerpávaly finanční prostředky uživatelů. Tým Dedaub vysvětlil, jak by útočník/útočníci použili tuto chybu zabezpečení.

Zrození této zranitelnosti sahá až do listopadu, kdy UniSwap představil svůj univerzální směrovač. Tento router sjednocuje swapování NFT a ERC-20 do jediného swapového routeru. Cílem bylo pomoci uživatelům provádět více akcí, jako je výměna více NFT a tokenů v jedné transakci. 

Při správném použití pošlou příkazy Universal Router zadanou částku určenému příjemci. Pokud je však během přenosu zavolán kód třetí strany, může znovu vstoupit do routeru a nárokovat si tokeny ve smlouvě. Je to hlavně proto, že Universal Router držel zůstatky mezi transakcemi. 

Ve svém dokumentu Proof-of-Concept tým Dedaub poznamenal, že útočník mohl přidat příkaz SWEEP pro všechny tokeny zbývající po odeslání počátečních částek. V rámci transakce mohl příjemce rychle vyčerpat celou částku.

Tým Uniswapu jednal rychle

Dedaubův tým okamžitě informoval tým UniSwap o možnosti takového útoku. Doporučili týmu Uniswap, aby do svého nového routeru před nasazením vložil reentrancy zámek. 

Uniswap se s problémem vypořádal okamžitě a před přijetím smlouvy provedl nezbytné úpravy. Uniswap získal Dedaub týmu odměnu za chyby ve výši 40 tisíc dolarů, aby prokázali svůj závazek k bezpečnosti jednotlivců. Tým Uniswap však problém vyhodnotil jako událost s velkým dopadem, ale s nízkou pravděpodobností. K tomu tedy může dojít ve velmi složitých scénářích.

Projekt DEX protokol UniSwap je obecně obeznámen s re-entry útoky. V roce 2020 se objevily zprávy, že DEX spolu s Lendf.me ztratil 25 milionů dolarů při jednoduchém re-entrancy útoku. Síť také utrpěla další útoky, jako je hackování. V červenci 2022 hackeři ukořistili 8 milionů dolarů ETH pomocí phishingového útoku.


Sledujte nás ve Zprávách Google

Zdroj: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/