Nedávno spustený program bug bounty od Uniswapu viedol k odhaleniu už opravenej zraniteľnosti inteligentnej zmluvy Universal Router protokolu.
Automatizovaný tvorca trhu uvoľnený dve nové inteligentné zmluvy na svoju platformu v novembri 2022. Permit2 umožňuje zdieľanie a spravovanie schvaľovania tokenov v rôznych aplikáciách, zatiaľ čo Universal Router zjednocuje výmenu ERC-20 a nezastupiteľných tokenov (NFT) do jedného swapového smerovača.
Uniswap tiež inzeroval lukratívny program odmeňovania chýb na identifikáciu potenciálnych zraniteľností vo svojich inteligentných zmluvách ku koncu roka 2022, pretože sa snažil zabezpečiť bezpečnosť a účinnosť svojho protokolu.
Inteligentná kontraktová bezpečnostná a audítorská firma Dedaub oznámila, že dostala odmenu za chyby po tom, čo označila zraniteľnosť v inteligentnej zmluve Universal Router, ktorá by umožnila opätovnému vstupu odčerpať prostriedky používateľov uprostred transakcie.
Tím Dedaub odhalil kritickú zraniteľnosť tímu Uniswap!
Finančné prostriedky sú v bezpečí – Uniswap problém vyriešil a nasadil inteligentné zmluvy Universal Router vo všetkých svojich reťazcoch
Zraniteľnosť umožňuje opätovnému vstupu odčerpať finančné prostriedky používateľa v polovici vysielania.
— Dedaub (@dedaub) Januára 2, 2023
Podľa členenia Dedaub, Universal Router umožňuje používateľom vykonávať rôzne akcie vrátane výmeny viacerých tokenov a NFT v jednej transakcii.
Smerovač obsahuje skriptovací jazyk pre širokú škálu akcií tokenov, ktoré môžu zahŕňať prevody príjemcom tretích strán. Pri správnej implementácii by prevody smerovali príjemcovi v rámci špecifikovaných parametrov.
Súvisiace: Immunefi hovorí, že od svojho vzniku umožnila odmeny za chyby vo výške 66 miliónov dolárov
Dedaub však identifikoval zraniteľnosť, pri ktorej bol počas prenosu vyvolaný kód tretej strany, čo umožnilo kódu znova vstúpiť do univerzálneho smerovača a nárokovať si všetky tokeny, ktoré boli dočasne v zmluve.
Dedaub potom navrhol priamu nápravu a poradil tímu Uniswap, aby do základnej implementácie nového smerovača pridal reentrancy lock. Uniswap udelil audítorskej firme celkovú sumu 40,000 33 USD za označenie zraniteľnosti. Suma zahŕňala 2022% bonus za nahlásenie problému počas bonusového obdobia Uniswapu v novembri XNUMX.
Uniswap klasifikoval problém ako stredne závažný, zatiaľ čo podľa ďalšieho hodnotenia má zraniteľnosť vysoký vplyv a nízku pravdepodobnosť. Podľa Dedauba sa možnosť, že používateľ posiela NFT priamo nedôveryhodnému príjemcovi, považovala za chybu používateľa.
Zložitejšie a menej pravdepodobné scenáre sa považovali za platné pre opätovný vstup, čo viedlo k tomu, že Uniswap považoval vektor za málo pravdepodobný. Cointelegraph oslovil Uniswap, aby zistil ďalšie podrobnosti o svojom prebiehajúcom odmeňovacom programe, vyplatených sumách a počte doteraz zistených chýb.
Odmeny za chyby sa stali samozrejmosťou v priestore kryptomien a blockchainu, pretože platformy a spoločnosti sa snažia zabezpečiť bezpečnosť svojho softvéru, systémov a infraštruktúry.
Kryptomena Coinbase nedávno objasnil podmienky svojej odmeny za chyby, zatiaľ čo blockchain bezpečnostná firma Immunefi má sprostredkovala viac ako 65 miliónov dolárov hodnotu odmien za chyby medzi etickými hackermi a firmami Web3 v roku 2022.
Zdroj: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability