Tech

UniSwap Universal Router był podatny na ataki ponownego wejścia

01/04/2023
Wiadomości Bitcoin Ethereum

Zespół Dedauba niedawno ujawnił lukę w kontraktach UniSwap, która mogła zagrozić niektórym użytkownikom.

Luka UniSwap

W niedawnym tweecie Dedaub ujawnił, że odkrył błąd w kontraktach UniSwap i poinformował ich o luce. Po otrzymaniu opinii „UniSwap rozwiązał problem i ponownie wdrożył inteligentne kontrakty Universal Router we wszystkich swoich łańcuchach”.

Obraz

Według Tweet autorstwa Dedauba, ta luka utorowała drogę do ataków typu re-entrancy, które pozbawiłyby użytkowników funduszy. Zespół Dedaub wyjaśnił, w jaki sposób osoba atakująca wykorzysta tę lukę.

Narodziny tej luki sięgają listopada, kiedy to UniSwap przedstawił swój uniwersalny router. Ten router łączy wymianę NFT i ERC-20 w jeden router wymiany. Celem była pomoc użytkownikom w wykonywaniu wielu czynności, takich jak wymiana wielu NFT i tokenów w jednej transakcji. 

Przy prawidłowym użyciu polecenia uniwersalnego routera wyślą określoną kwotę do określonego odbiorcy. Jeśli jednak podczas transferu zostanie wywołany kod strony trzeciej, może ona ponownie wejść do routera i zażądać tokenów w umowie. Dzieje się tak głównie dlatego, że Universal Router utrzymywał salda między transakcjami. 

W swoim Proof-of-Concept zespół Dedaub zauważył, że osoba atakująca może dodać polecenie SWEEP dla wszystkich tokenów pozostałych po wysłaniu początkowych kwot. W ramach transakcji odbiorca mógł szybko spuścić całą kwotę.

Zespół Uniswap działał szybko

Zespół Dedauba natychmiast poinformował zespół UniSwap o możliwości takiego ataku. Doradzili zespołowi Uniswap, aby przed wdrożeniem wbudował blokadę ponownego wejścia w nowy router. 

Uniswap zajął się sprawą błyskawicznie, dokonując niezbędnych korekt przed przyjęciem umowy. Uniswap nagrodzony Dedaubem zespołowi nagrodę za błąd w wysokości 40 XNUMX USD, aby pokazać swoje zaangażowanie w bezpieczeństwo osób fizycznych. Jednak zespół Uniswap ocenił problem jako zdarzenie o dużym wpływie, ale o niskim prawdopodobieństwie. Dlatego może się to zdarzyć w bardzo złożonych scenariuszach.

Połączenia Protokół DEX UniSwap jest ogólnie zaznajomiony z atakami ponownego wejścia. W 2020 roku pojawiły się doniesienia, że ​​DEX wraz z Lendf.me stracił 25 milionów dolarów w prostym ataku ponownego wejścia. Sieć ucierpiała również w wyniku innych ataków, takich jak ataki hakerskie. W lipcu 2022 hakerzy ukradli 8 milionów dolarów ETH. za pomocą ataku phishingowego.


Śledź nas w Google News

Źródło: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/