Tech

UniSwap Universal Router bol zraniteľný voči re-entrancy útokom

01/04/2023
Novinky o bitcoinových etéroch

Dedaubov tím nedávno odhalil zraniteľnosť zmlúv UniSwap, ktorá mohla ohroziť niektorých používateľov.

Zraniteľnosť UniSwap

V nedávnom tweete Dedaub prezradil, že objavil chybu v zmluvách UniSwap a informoval ich o zraniteľnosti. Keď bola prijatá spätná väzba, „UniSwap riešil tento problém a opätovne nasadil inteligentné zmluvy Universal Router vo všetkých svojich reťazcoch.“

Obraz

Podľa Tweet od Dedauba, táto zraniteľnosť pripravila pôdu pre re-entrancy útoky, ktoré by odčerpali finančné prostriedky používateľov. Tím Dedaub vysvetlil, ako by útočník (útočníci) využili túto zraniteľnosť.

Zrod tejto zraniteľnosti sa datuje od novembra UniSwap predstavil svoj univerzálny smerovač. Tento smerovač zjednocuje swapovanie NFT a ERC-20 do jedného swapového smerovača. Cieľom bolo pomôcť používateľom vykonávať viacero akcií, ako je výmena viacerých NFT a tokenov v jednej transakcii. 

Pri správnom použití príkazy Universal Router odošlú určené množstvo určenému príjemcovi. Ak sa však počas prenosu zavolá kód tretej strany, môže znova zadať smerovač a nárokovať si tokeny v zmluve. Je to hlavne preto, že Universal Router udržiaval zostatky medzi transakciami. 

Vo svojom dôkaze o koncepte tím Dedaub poznamenal, že útočník mohol pridať príkaz SWEEP pre všetky tokeny, ktoré zostali po odoslaní počiatočných súm. V rámci transakcie mohol príjemca rýchlo odčerpať celú sumu.

Tím Uniswapu konal rýchlo

Dedaubov tím okamžite informoval tím UniSwap o možnosti takéhoto útoku. Odporúčali tímu Uniswap, aby pred nasadením vložil do svojho nového smerovača reentrancy lock. 

Uniswap problém vyriešil okamžite a pred prijatím zmluvy vykonal potrebné úpravy. Uniswap získal ocenenie Dedaub tímu odmenu za chyby vo výške 40 XNUMX dolárov, aby preukázali svoj záväzok voči bezpečnosti jednotlivcov. Tím Uniswap však problém vyhodnotil ako udalosť s vysokým dopadom, no s nízkou pravdepodobnosťou. Preto k tomu môže dôjsť vo veľmi zložitých scenároch.

DEX protokol UniSwap je všeobecne oboznámený s re-entry útokmi. V roku 2020 sa objavili správy, že DEX spolu s Lendf.me stratili 25 miliónov dolárov pri jednoduchom opätovnom vstupe. Sieť utrpela aj ďalšie útoky, ako napríklad hackovanie. V júli 2022 hackeri ukradli 8 miliónov dolárov ETH pomocou phishingového útoku.


Sledujte nás v službe Google News

Zdroj: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/