Наскоро стартираната програма за награди за грешки на Uniswap доведе до откриването на вече коригирана уязвимост на интелигентния договор за Universal Router на протокола.
Автоматизираният маркет мейкър освободен два нови интелигентни договора към своята платформа през ноември 2022 г. Permit2 позволява споделяне и управление на одобрения на токени в различни приложения, докато Universal Router обединява размяната на ERC-20 и незаменими токени (NFT) в един суап рутер.
Uniswap също така рекламира доходоносна програма за награди за грешки, за да идентифицира потенциални уязвимости в своите интелигентни договори към края на 2022 г., тъй като се стремеше да гарантира безопасността и ефикасността на своя протокол.
Фирмата за сигурност и одит на интелигентни договори Dedaub обяви, че е получила награда за грешка, след като отбеляза уязвимост в интелигентния договор на Universal Router, която би позволила повторно влизане за източване на потребителски средства по време на транзакция.
Екипът на Dedaub разкри критична уязвимост на екипа на Uniswap!
Средствата са в безопасност – Uniswap се справи с проблема и пренасочи интелигентните договори на Universal Router във всички свои вериги
Уязвимостта позволява повторно влизане за източване на средствата на потребителя, в средата на tx.
— Дедауб (@dedaub) Януари 2, 2023
Според разбивката на Dedaub, универсалният рутер позволява на потребителите да извършват различни действия, включително размяна на множество токени и NFT в една транзакция.
Рутерът вгражда скриптов език за голямо разнообразие от действия с токени, които могат да включват трансфери към получатели на трети страни. Ако се внедрят правилно, преводите ще отидат до получателя в рамките на определени параметри.
Свързани: Imunefi казва, че е улеснила 66 милиона долара награди за грешки от самото начало
Въпреки това, Dedaub идентифицира уязвимост, при която код на трета страна е бил извикан по време на прехвърлянето, позволявайки на кода да влезе отново в универсалния рутер и да поиска всички токени, които са били временно в договора.
След това Dedaub предложи просто решение, съветвайки екипа на Uniswap да добави заключване за повторно влизане към основното изпълнение на новия рутер. Uniswap присъди на одиторската фирма общо $40,000 33 за отбелязване на уязвимостта. Сумата включва 2022% бонус за докладване на проблема по време на бонусния период на Uniswap през ноември XNUMX г.
Uniswap класифицира проблема като среден по тежест, докато по-нататъшната оценка прецени, че уязвимостта има голямо въздействие и малка вероятност. Според Дедауб възможността потребител да изпрати директно NFT на ненадежден получател се счита за потребителска грешка.
По-сложните и по-малко вероятни сценарии бяха счетени за валидни за повторно влизане, което доведе до това Uniswap да прецени, че векторът има ниска вероятност. Cointelegraph се свърза с Uniswap, за да установи допълнителни подробности за текущата програма за награди, изплатените суми и броя на грешките, идентифицирани до момента.
Наградите за грешки станаха нещо обичайно в криптовалутата и блокчейн пространството, тъй като платформите и компаниите се стремят да гарантират сигурността на своя софтуер, системи и инфраструктура.
Обмен на криптовалута Coinbase наскоро изясни условията на своята награда за грешки, докато фирмата за сигурност на блокчейн Imunefi има улесни над $65 милиона стойност на наградите за грешки между етичните хакери и Web3 фирмите през 2022 г.
Източник: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability