Novo implementovaný program bug bounty od Uniswapu bol obrovským úspechom, pretože pomohol odhaliť a následne vyriešiť existujúcu zraniteľnosť v jeho smart kontrakte Universal Router.
Dve nové inteligentné zmluvy, Permit2 a Universal Router, boli vydané už v novembri 2022. Prostredníctvom zdieľania a správy tokenového schválenia poskytuje inteligentná zmluva Permit2 aplikáciám prístup k celému radu bezpečných autorizačných schopností. Na druhej strane Universal Router kompiluje transakcie ERC-20 a NFT do jedného swapového smerovača, čo Uniswapu poskytuje efektívnejšiu metódu výmeny medzi rôznymi typmi kryptomien.
So zavedením týchto nových inteligentných zmlúv spoločnosť Uniswap tiež oznámila program odmeňovania chýb, ktorý by platforme pomohol odhaliť akékoľvek potenciálne zraniteľné miesta. Keďže trh s digitálnou menou a blockchainom sa neustále vyvíja, odmeny za chyby sa stali pre firmy spôsobom, ako zabezpečiť bezpečnosť svojho softvéru, systémov a kritickej infraštruktúry.
Bezpečnostná audítorská spoločnosť DeFi DeFi bola medzi prvými, ktorí získali veľké ocenenie za prácu na identifikácii zraniteľnosti na inteligentnom kontrakte Universal Router. Zraniteľnosť bola označená ako schopnosť povoliť opätovný vstup počas potvrdenia transakcie, čo by mohli zneužiť aktéri hrozieb na vyčerpanie finančných prostriedkov z peňaženky.
Tím Dedaub odhalil kritickú zraniteľnosť tímu Uniswap!
Finančné prostriedky sú v bezpečí – Uniswap problém vyriešil a presadil inteligentné zmluvy Universal Router vo všetkých svojich reťazcoch 👏
Zraniteľnosť umožňuje opätovnému vstupu odčerpať finančné prostriedky používateľa v polovici vysielania.
— Dedaub (@dedaub) Januára 2, 2023
Dedaub vysvetľuje, že univerzálny smerovač poskytuje používateľom možnosť vykonávať množstvo transakcií naraz, ako je výmena viacerých tokenov a NFT naraz. Integrovaný skriptovací jazyk smerovača je schopný vykonávať širokú škálu tokenových aktivít vrátane prevodov externým príjemcom platieb. Pri správnom postupe krok za krokom by tieto prostriedky boli doručené okamžite, ak by transakcia spĺňala kritériá stanovené parametrami smart kontraktu.
Podľa návrhu to znamená, že kód tretej časti, keď je vyvolaný počas prenosu, by mohol kódu umožniť, aby znova vstúpil do univerzálneho smerovača a spravoval alebo ťahal tokeny, ktoré sú na inteligentnom kontrakte na dočasné obdobie. To podnietilo Dedaubov whitehats, aby informovali Uniswap o riešení, ktoré zahŕňalo opravu inteligentného kontraktu s reentrancy lock pre hlavný modul vykonávania Universal Router.
Uniswap potom rýchlo udelil 40,000 XNUMX dolárov tímu Dedaub za ich rýchle zverejnenie. Podľa Uniswap bol problém stredne závažný, zatiaľ čo ďalšie hodnotenie zraniteľnosti poukázalo na scenár s nízkou pravdepodobnosťou a veľkým dopadom. Dedaub potvrdzuje, že vektor útoku možno považovať za chybu na konci používateľa, pretože k tomuto scenáru by došlo iba vtedy, ak používateľ priamo pošle NFT nedôveryhodnému príjemcovi.
Zrieknutie sa zodpovednosti: Tento článok je poskytovaný iba na informačné účely. Nie je ponúkané ani určené na použitie ako právne, daňové, investičné, finančné alebo iné poradenstvo.
Zdroj: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability