Nedavno uvedeni program za nagrajevanje hroščev Uniswap je pripeljal do odkritja zdaj že odpravljene ranljivosti pametne pogodbe Universal Router protokola.
Avtomatizirani ustvarjalec trga sprosti dve novi pametni pogodbi na svojo platformo novembra 2022. Permit2 omogoča skupno rabo in upravljanje odobritev žetonov v različnih aplikacijah, medtem ko Universal Router združuje zamenjavo ERC-20 in nezamenljivih žetonov (NFT) v en sam izmenjevalni usmerjevalnik.
Uniswap je proti koncu leta 2022 oglaševal tudi donosen program nagrajevanja hroščev, da bi prepoznal morebitne ranljivosti v svojih pametnih pogodbah, saj je želel zagotoviti varnost in učinkovitost svojega protokola.
Varnostno in revizijsko podjetje za pametne pogodbe Dedaub je objavilo, da je prejelo nagrado za hrošča, potem ko je označilo ranljivost v pametni pogodbi univerzalnega usmerjevalnika, ki bi omogočila ponovni vstop za izčrpavanje uporabnikovih sredstev med transakcijo.
Ekipa Dedaub je ekipi Uniswap razkrila kritično ranljivost!
Sredstva so varna – Uniswap je obravnaval težavo in prerazporedil pametne pogodbe Universal Router v vseh svojih verigah
Ranljivost omogoča ponovni vstop za črpanje uporabnikovih sredstev sredi tx.
— Dedaub (@dedaub) Januar 2, 2023
Glede na Dedaubovo razčlenitev Univerzalni usmerjevalnik uporabnikom omogoča izvajanje različnih dejanj, vključno z zamenjavo več žetonov in NFT-jev v eni transakciji.
Usmerjevalnik ima vgrajen skriptni jezik za široko paleto dejanj žetonov, ki lahko vključujejo prenose tretjim osebam. Če bi bili pravilno izvedeni, bi šli prenosi do prejemnika v okviru določenih parametrov.
Povezano: Immunefi pravi, da je od začetka omogočil 66 milijonov dolarjev nagrad za hrošče
Vendar je Dedaub odkril ranljivost, pri kateri je bila med prenosom priklicana koda tretje osebe, kar je kodi omogočilo, da ponovno vstopi v univerzalni usmerjevalnik in zahteva vse žetone, ki so bili začasno v pogodbi.
Dedaub je nato predlagal preprosto rešitev in ekipi Uniswap svetoval, naj v jedrno izvedbo novega usmerjevalnika doda zaklepanje ponovnega vstopa. Uniswap je revizijskemu podjetju dodelil skupno 40,000 $ za označitev ranljivosti. Znesek je vključeval 33-odstotni bonus za prijavo težave v bonusnem obdobju Uniswap novembra 2022.
Uniswap je težavo označil kot srednje resno, medtem ko je nadaljnja ocena ocenila, da ima ranljivost velik vpliv in nizko verjetnost. Po besedah Dedauba se je možnost, da uporabnik neposredno pošlje NFT nezaupljivemu prejemniku, obravnavala kot napaka uporabnika.
Bolj zapleteni in manj verjetni scenariji so veljali za veljavne za ponovni vstop, zaradi česar je Uniswap menil, da ima vektor majhno verjetnost. Cointelegraph se je obrnil na Uniswap, da bi izvedel dodatne podrobnosti o svojem tekočem programu nagrad, izplačanih zneskih in številu napak, ugotovljenih do danes.
Nagrade za hrošče so postale običajne v prostoru kriptovalut in blokovnih verig, saj si platforme in podjetja prizadevajo zagotoviti varnost svoje programske opreme, sistemov in infrastrukture.
Menjalnica kriptovalut Coinbase pred kratkim pojasnil pogoje svoje nagrade za hrošče, medtem ko ima podjetje za varnost blockchain Imunefi omogočil več kot 65 milijonov dolarjev vredno nagrad za napake med etičnimi hekerji in podjetji Web3 v letu 2022.
Vir: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability