Dedaubova ekipa je nedavno razkrila ranljivost pogodb UniSwap, ki bi lahko ogrozila nekatere uporabnike.
Ranljivost UniSwap
V nedavnem tvitu je Dedaub razkril, da so odkrili napako na pogodbah UniSwap in jih obvestili o ranljivosti. Ko so bile prejete povratne informacije, je "UniSwap obravnaval težavo in prerazporedil pametne pogodbe Universal Router v vseh svojih verigah."
Glede na Tweet avtorja Dedaub, je ta ranljivost utrla pot napadom ponovnega vstopa, ki bi izčrpali sredstva uporabnikov. Ekipa Dedaub je pojasnila, kako bi napadalec(-i) uporabil/-i to ranljivost.
Rojstvo te ranljivosti izvira iz novembra, ko UniSwap je predstavil svoj univerzalni usmerjevalnik. Ta usmerjevalnik združuje zamenjavo NFT in ERC-20 v en sam izmenjalni usmerjevalnik. Cilj je bil pomagati uporabnikom pri izvajanju več dejanj, kot je zamenjava več NFT-jev in žetonov v eni transakciji.
Ob pravilni uporabi bodo ukazi univerzalnega usmerjevalnika poslali navedeni znesek navedenemu prejemniku. Če pa se med prenosom kliče koda tretje osebe, lahko ta ponovno vstopi v usmerjevalnik in zahteva žetone v pogodbi. To je predvsem zato, ker je univerzalni usmerjevalnik imel stanja med transakcijami.
V svojem dokazu koncepta je ekipa Dedaub ugotovila, da lahko napadalec doda ukaz SWEEP za vse žetone, ki ostanejo po pošiljanju začetnih zneskov. V okviru transakcije bi lahko prejemnik hitro izčrpal celoten znesek.
Uniswapova ekipa je ukrepala hitro
Dedaubova ekipa je ekipo UniSwap takoj obvestila o možnosti takega napada. Uniswapovi ekipi so svetovali, naj pred uvedbo v svoj novi usmerjevalnik vgradi zaklepanje za ponovni vstop.
Uniswap je težavo rešil takoj in izvedel potrebne prilagoditve pred sprejetjem pogodbe. Uniswap je podelil Dedaub podeli nagrado za hrošče v višini 40 tisoč dolarjev, da pokažejo svojo predanost varnosti posameznikov. Vendar pa je ekipa Uniswap ocenila težavo kot dogodek z velikim vplivom, a malo verjetnostjo. Zato se lahko to zgodi v zelo zapletenih scenarijih.
O DEX protokol UniSwap na splošno pozna napade ponovnega vstopa. Leta 2020 so se pojavila poročila, da je DEX skupaj z Lendf.me izgubil 25 milijonov dolarjev v preprostem napadu ponovnega vstopa. Omrežje je bilo deležno tudi drugih napadov, kot je vdiranje. Julija 2022 so hekerji ugrabili 8 milijonov dolarjev ETH z uporabo lažnega predstavljanja.
Vir: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/