Нововъведената програма за награди за грешки на Uniswap пожъна изключителен успех, тъй като помогна да се разкрие и впоследствие да се разреши съществуваща уязвимост в интелигентния договор на Universal Router.
Двата нови интелигентни договора, Permit2 и Universal Router, бяха пуснати през ноември 2022 г. Чрез споделяне и управление на одобрение на токени, интелигентният договор Permit2 предоставя на приложенията достъп до набор от сигурни възможности за оторизация. От друга страна, Universal Router компилира ERC-20 и NFT транзакции в един суап рутер, давайки на Uniswap по-ефективен метод за обмен между различни видове криптовалута.
С въвеждането на тези нови интелигентни договори Uniswap също обяви програма за награди за грешки, която ще помогне на платформата да открие всякакви потенциални уязвимости. Тъй като пазарът на цифрова валута и блокчейн продължава да се развива, наградите за грешки се превърнаха в начин за фирмите да гарантират, че техният софтуер, системи и критична инфраструктура са защитени.
Фирмата за одит на сигурността на DeFi Dedaub беше сред първите, които получиха солидна награда за работата си по идентифициране на уязвимост в интелигентния договор на Universal Router. Уязвимостта беше маркирана като имаща възможност да разреши повторно влизане по време на времето за потвърждение на транзакция, което може да бъде използвано от участниците в заплахата, за да източат средствата на портфейла.
Екипът на Dedaub разкри критична уязвимост на екипа на Uniswap!
Средствата са в безопасност – Uniswap се справи с проблема и пренасочи интелигентните договори на Universal Router във всички свои вериги 👏
Уязвимостта позволява повторно влизане за източване на средствата на потребителя, в средата на tx.
— Дедауб (@dedaub) Януари 2, 2023
Дедауб обяснява, че универсалният рутер предоставя на потребителите възможността да извършват многобройни транзакции наведнъж, като например обмен на множество токени и NFT с едно движение. Интегрираният скриптов език на рутера е способен на широк набор от символични дейности, включително преводи към външни получатели. Когато се направи правилно стъпка по стъпка, тези средства ще бъдат доставени веднага, ако транзакцията отговаря на критериите, определени от параметрите на интелигентния договор.
По дизайн това означава, че код от трета част, когато бъде извикан по време на прехвърлянето, може да позволи на кода да влезе отново в универсалния рутер и да управлява или изтегля токени, които са в интелигентния договор за временен период. Това накара белите шапки на Dedaub да посъветват Uniswap за решение, което включва корекция на интелигентния договор със заключване за повторно влизане за основния модул за изпълнение на Universal Router.
След това Uniswap бързо присъди $40,000 XNUMX на екипа на Dedaub за бързото им разкриване. Според Uniswap проблемът е бил със средно ниво на сериозност, докато по-нататъшната оценка на уязвимостта сочи сценарий с малък шанс и силно въздействие. Dedaub потвърждава, че векторът на атаката може да се счита за грешка от страна на потребителя, тъй като сценарият би се случил само ако потребител директно изпрати NFT до ненадежден получател.
Отказ от отговорност: Тази статия е предоставена само с информационна цел. Той не се предлага или е предназначен да се използва като правен, данъчен, инвестиционен, финансов или друг съвет.
Източник: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability