Нещодавно реалізована програма винагороди за помилки Uniswap мала шалений успіх, оскільки допомогла виявити та згодом усунути існуючу вразливість у смарт-контракті Universal Router.
Два нових смарт-контракти, Permit2 і Universal Router, були випущені ще в листопаді 2022 року. Завдяки обміну та управлінню схваленням токенів смарт-контракт Permit2 надає додаткам доступ до низки безпечних можливостей авторизації. З іншого боку, Universal Router збирає транзакції ERC-20 і NFT в єдиний маршрутизатор обміну, надаючи Uniswap більш ефективний метод для обміну між різними типами криптовалюти.
З появою цих нових смарт-контрактів Uniswap також оголосила про програму винагород за помилки, яка допоможе платформі виявити будь-які потенційні вразливості. Оскільки ринок цифрових валют і блокчейнів продовжує розвиватися, винагороди за помилки стали для компаній способом гарантувати безпеку свого програмного забезпечення, систем і критичної інфраструктури.
Аудиторська фірма безпеки DeFi Dedaub була однією з перших, хто отримав значну нагороду за роботу з виявлення вразливості в смарт-контракті Universal Router. Уразливість була позначена як така, що має здатність дозволяти повторний вхід під час підтвердження транзакції, що може бути використано зловмисниками для вичерпання коштів гаманця.
Команда Dedaub розкрила критичну вразливість команді Uniswap!
Кошти в безпеці – Uniswap вирішила проблему та повторно розгорнула смарт-контракти Universal Router у всіх своїх мережах 👏
Уразливість дозволяє повторному входу вичерпати кошти користувача в середині передачі.
— Дедауб (@dedaub) Січень 2, 2023
Дедауб пояснює, що універсальний маршрутизатор надає користувачам можливість здійснювати численні транзакції одночасно, наприклад обмінювати кілька токенів і NFT за один раз. Інтегрована мова сценаріїв маршрутизатора здатна виконувати широкий спектр маркерів, включаючи перекази зовнішнім одержувачам. При правильному виконанні крок за кроком ці кошти будуть доставлені негайно, якщо транзакція відповідатиме критеріям, встановленим параметрами смарт-контракту.
За задумом це означає, що код третьої частини, викликаний під час передачі, може дозволити коду повторно ввійти в універсальний маршрутизатор і тимчасово керувати або витягувати токени, які є в смарт-контракті. Це спонукало білих капелюхів Dedaub порадити Uniswap рішення, яке передбачало заміну смарт-контракту блокуванням повторного входу для основного виконавчого модуля Universal Router.
Тоді Uniswap швидко присудив 40,000 XNUMX доларів команді Dedaub за їх швидке розкриття. Згідно з Uniswap, проблема була середнього рівня серйозності, тоді як подальша оцінка вразливості вказала на сценарій з низьким шансом і сильним впливом. Дедауб підтверджує, що вектор атаки можна розглядати як помилку користувача, оскільки сценарій відбудеться, лише якщо користувач безпосередньо надішле NFT ненадійному одержувачу.
Застереження: Ця стаття надана виключно в ознайомлювальних цілях. Він не пропонується і не призначений для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability