Нещодавно запущена програма винагороди за помилки Uniswap призвела до виявлення виправленої вразливості смарт-контракту універсального маршрутизатора протоколу.
Автоматизований маркет-мейкер випущений два нових смарт-контракти на свою платформу в листопаді 2022 року. Permit2 дозволяє спільно використовувати схвалення токенів і керувати ними між різними програмами, тоді як Universal Router об’єднує ERC-20 і заміну незамінних токенів (NFT) в один маршрутизатор обміну.
Наприкінці 2022 року компанія Uniswap також рекламувала вигідну програму винагород за помилки для виявлення потенційних уразливостей у своїх смарт-контрактах, намагаючись забезпечити безпеку та ефективність свого протоколу.
Фірма з безпеки та аудиту смарт-контрактів Dedaub оголосила, що отримала винагороду за помилку після того, як позначила вразливість у смарт-контракті Universal Router, яка дозволяла повторний вхід для вичерпання коштів користувача під час транзакції.
Команда Dedaub розкрила критичну вразливість команді Uniswap!
Кошти в безпеці – Uniswap вирішила проблему та повторно розгорнула смарт-контракти Universal Router у всіх своїх мережах
Уразливість дозволяє повторному входу вичерпати кошти користувача в середині передачі.
— Дедауб (@dedaub) Січень 2, 2023
Згідно з розбивкою Дедауба, універсальний маршрутизатор дозволяє користувачам виконувати різноманітні дії, включаючи обмін кількома токенами та NFT в одній транзакції.
Маршрутизатор вбудовано мову сценаріїв для широкого спектру дій маркерів, які можуть включати передачу стороннім одержувачам. У разі правильної реалізації перекази надходитимуть до одержувача в межах заданих параметрів.
Однак Dedaub виявив уразливість, у якій код третьої сторони був викликаний під час передачі, що дозволило коду повторно ввійти в універсальний маршрутизатор і отримати будь-які токени, які тимчасово були в контракті.
Тоді Дедауб запропонував простий спосіб вирішення проблеми, порадивши команді Uniswap додати блокування повторного входу до основного виконання нового маршрутизатора. Uniswap присудила аудиторській фірмі 40,000 33 доларів США за позначення вразливості. Сума включала бонус у розмірі 2022% за повідомлення про проблему протягом бонусного періоду Uniswap у листопаді XNUMX року.
Uniswap класифікувала проблему як середню серйозність, тоді як подальша оцінка вразливості визнала сильний вплив і низьку ймовірність. За словами Дедауба, можливість безпосереднього надсилання користувачем NFT ненадійному одержувачу вважалася помилкою користувача.
Більш складні та менш вірогідні сценарії вважалися дійсними для повторного входу, що призвело до того, що Uniswap вважав вектор малоймовірним. Cointelegraph звернувся до Uniswap, щоб дізнатися більше про поточну програму бонусів, виплачені суми та кількість виявлених на сьогоднішній день помилок.
Винагороди за помилки стали звичним явищем у сфері криптовалют і блокчейнів, оскільки платформи та компанії прагнуть забезпечити безпеку свого програмного забезпечення, систем та інфраструктури.
Обмін криптовалюти Coinbase нещодавно уточнив умови винагороди за помилки, тоді як фірма з безпеки блокчейнів Imunefi сприяв понад 65 мільйонів доларів вартість винагород за помилки між етичними хакерами та компаніями Web3 у 2022 році.
Джерело: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability