Uniswapov na novo uveden program za nagrajevanje hroščev je bil izjemno uspešen, saj je pomagal odkriti in nato odpraviti obstoječo ranljivost v pametni pogodbi Universal Router.
Dve novi pametni pogodbi, Permit2 in Universal Router, sta bili izdani novembra 2022. Prek deljenja in upravljanja odobritve žetonov pametna pogodba Permit2 aplikacijam omogoča dostop do nabora varnih avtorizacijskih zmogljivosti. Po drugi strani Universal Router združuje transakcije ERC-20 in NFT v en sam izmenjalni usmerjevalnik, kar daje Uniswapu učinkovitejšo metodo za izmenjavo med različnimi vrstami kriptovalut.
Z uvedbo teh novih pametnih pogodb je Uniswap napovedal tudi program nagrajevanja hroščev, ki bi platformi pomagal odkriti morebitne ranljivosti. Ker se trg digitalnih valut in blokovnih verig še naprej razvija, so nagrade za napake postale način, s katerim lahko podjetja zagotovijo, da so njihova programska oprema, sistemi in kritična infrastruktura varni.
DeFi varnostno revizijsko podjetje Dedaub je bilo med prvimi, ki je prejelo zajetno nagrado za svoje delo pri prepoznavanju ranljivosti na pametni pogodbi Universal Router. Ranljivost je bila označena kot možnost, da dovoli ponovni vstop v času potrditve transakcije, kar bi akterji groženj lahko izkoristili za črpanje sredstev iz denarnice.
Ekipa Dedaub je ekipi Uniswap razkrila kritično ranljivost!
Sredstva so varna – Uniswap je obravnaval težavo in prerazporedil pametne pogodbe Universal Router v vseh svojih verigah 👏
Ranljivost omogoča ponovni vstop za črpanje uporabnikovih sredstev sredi tx.
— Dedaub (@dedaub) Januar 2, 2023
Dedaub pojasnjuje, da univerzalni usmerjevalnik uporabnikom ponuja možnost izvajanja številnih transakcij hkrati, kot je izmenjava več žetonov in NFT-jev naenkrat. Integrirani skriptni jezik usmerjevalnika je zmožen širokega nabora žetonskih dejavnosti, vključno s prenosi zunanjim prejemnikom plačil. Ob pravilnem koraku bi bila ta sredstva dostavljena takoj, če bi transakcija izpolnjevala merila, ki jih določajo parametri pametne pogodbe.
Po zasnovi to pomeni, da bi lahko koda tretjega dela, ko je priklicana med prenosom, kodi omogočila ponovni vstop v univerzalni usmerjevalnik in upravljanje ali vlečenje žetonov, ki so v pametni pogodbi za začasno obdobje. To je spodbudilo bele klobuke Dedaub, da so Uniswapu svetovali rešitev, ki je vključevala popravek pametne pogodbe z zaklepanjem ponovnega vstopa za osrednji izvedbeni modul Universal Routerja.
Uniswap je nato hitro podelil 40,000 $ ekipi Dedaub za njihovo takojšnje razkritje. Po navedbah Uniswapa je bila težava srednje resnosti, medtem ko je nadaljnja ocena ranljivosti pokazala na scenarij z nizko verjetnostjo in velikim vplivom. Dedaub potrjuje, da je vektor napada mogoče obravnavati kot napako na koncu uporabnika, ker bi se scenarij zgodil le, če bi uporabnik neposredno poslal NFT nezaupljivemu prejemniku.
Izjava o omejitvi odgovornosti: Ta članek je na voljo samo v informativne namene. Ni ponujen ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability