Niedawno uruchomiony przez Uniswap program nagród za błędy doprowadził do odkrycia naprawionej już luki w inteligentnym kontrakcie protokołu Universal Router.
Automatyczny animator rynku wydany dwie nowe inteligentne umowy na swojej platformie w listopadzie 2022 r. Permit2 umożliwia udostępnianie zatwierdzeń tokenów i zarządzanie nimi w różnych aplikacjach, podczas gdy Universal Router łączy wymianę ERC-20 i niewymienialnych tokenów (NFT) w jeden router wymiany.
Uniswap reklamował również lukratywny program nagród za błędy w celu zidentyfikowania potencjalnych luk w zabezpieczeniach swoich inteligentnych kontraktów pod koniec 2022 r., ponieważ chciał zapewnić bezpieczeństwo i skuteczność swojego protokołu.
Firma Dedaub zajmująca się bezpieczeństwem inteligentnych kontraktów i audytem ogłosiła, że otrzymała nagrodę za błąd po zgłoszeniu luki w inteligentnym kontrakcie Universal Router, która umożliwiłaby ponowne wejście w celu drenażu środków użytkownika w trakcie transakcji.
Zespół Dedaub ujawnił zespołowi Uniswap krytyczną lukę!
Fundusze są bezpieczne – firma Uniswap rozwiązała ten problem i ponownie wdrożyła inteligentne kontrakty Universal Router we wszystkich swoich łańcuchach
Luka w zabezpieczeniach umożliwia ponowne wejście w celu wyczerpania środków użytkownika w połowie transmisji.
— Dedaub (@dedaub) 2 stycznia 2023 r.
Zgodnie z analizą Dedauba, Universal Router umożliwia użytkownikom wykonywanie różnych czynności, w tym wymianę wielu tokenów i NFT w ramach jednej transakcji.
Router osadza język skryptowy dla szerokiej gamy działań tokena, które mogą obejmować transfery do odbiorców zewnętrznych. Przy prawidłowej realizacji przelewy trafiałyby do odbiorcy w określonych parametrach.
Związane z: Immunefi twierdzi, że od samego początku ułatwił nagrody za błędy w wysokości 66 milionów dolarów
Jednak Dedaub zidentyfikował lukę w zabezpieczeniach, w której podczas transferu wywołano kod strony trzeciej, umożliwiając kodowi ponowne wejście do routera uniwersalnego i odebranie wszelkich tokenów, które były tymczasowo objęte umową.
Następnie Dedaub zasugerował proste rozwiązanie, doradzając zespołowi Uniswap dodanie blokady ponownego wejścia do podstawowego wykonania nowego routera. Uniswap przyznał firmie audytorskiej łącznie 40,000 33 USD za zgłoszenie luki w zabezpieczeniach. Kwota zawierała 2022% premię za zgłoszenie problemu w okresie premiowym Uniswap w listopadzie XNUMX r.
Uniswap sklasyfikował problem jako średnio poważny, podczas gdy dalsza ocena wykazała, że luka ma duży wpływ i małe prawdopodobieństwo. Według Dedauba możliwość wysłania przez użytkownika NFT bezpośrednio do niezaufanego odbiorcy została uznana za błąd użytkownika.
Bardziej złożone i mniej prawdopodobne scenariusze zostały uznane za ważne dla ponownego wejścia, co spowodowało, że Uniswap uznał, że wektor ma niskie prawdopodobieństwo. Cointelegraph skontaktował się z Uniswap, aby uzyskać dalsze szczegóły dotyczące trwającego programu nagród, wypłaconych kwot i liczby zidentyfikowanych do tej pory błędów.
Nagrody za błędy stały się powszechne w przestrzeni kryptowalut i blockchain, ponieważ platformy i firmy starają się zapewnić bezpieczeństwo swojego oprogramowania, systemów i infrastruktury.
Giełda kryptowalut Coinbase niedawno wyjaśnił warunki nagrody za błędy, podczas gdy firma zajmująca się bezpieczeństwem blockchain Immunefi ma ułatwił ponad 65 milionów dolarów wartości nagród za błędy między etycznymi hakerami a firmami Web3 w 2022 r.
Źródło: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability