Універсальний маршрутизатор UniSwap був вразливим до атак повторного входу

Народження цієї вразливості бере свій початок у листопаді, коли UniSwap представила свій універсальний маршрутизатор. Цей маршрутизатор об’єднує обмін NFT і ERC-20 в один маршрутизатор обміну. Мета полягала в тому, щоб допомогти користувачам виконувати кілька дій, наприклад обмінювати кілька NFT і токенів в одній транзакції. 

При правильному використанні команди універсального маршрутизатора надішлють вказану суму вказаному одержувачу. Однак, якщо під час передачі викликається код третьої сторони, він може повторно ввійти в маршрутизатор і вимагати токени в контракті. Це головним чином через те, що універсальний маршрутизатор зберігав баланс між транзакціями. 

У своєму доказі концепції команда Dedaub зазначила, що зловмисник може додати команду SWEEP для всіх жетонів, що залишилися після надсилання початкових сум. У рамках транзакції одержувач міг швидко злити всю суму.

Команда Uniswap діяла швидко

Команда Дедауба миттєво повідомила команду UniSwap про можливість такої атаки. Вони порадили команді Uniswap вбудувати блокування повторного входу в свій новий маршрутизатор перед розгортанням. 

Uniswap миттєво впорався з цією проблемою, зробивши необхідні коригування перед прийняттям контракту. Uniswap нагородив Dedaub об’єднати винагороду за помилки в розмірі 40 тисяч доларів, щоб продемонструвати свою відданість безпеці людей. Однак команда Uniswap оцінила проблему як подію з високим ступенем впливу, але малоймовірною. Отже, це може статися в дуже складних сценаріях.

Команда Протокол DEX UniSwap загалом знайомий з атаками повторного входу. У 2020 році з’явилися повідомлення про те, що DEX разом із Lendf.me втратили 25 мільйонів доларів у простій атаці повторного входу. Мережа також зазнавала інших атак, наприклад хакерських. У липні 2022 року хакери викрали 8 мільйонів доларів ETH за допомогою фішингової атаки.

Слідкуйте за нами в Новинах Google