Uniswapin äskettäin käynnistetty bugipalkkio-ohjelma on johtanut protokollan Universal Router älykkään sopimuksen nyt korjatun haavoittuvuuden löytämiseen.
Automatisoitu markkinatakaaja julkaistu kaksi uutta älykästä sopimusta alustaansa marraskuussa 2022. Permit2 mahdollistaa tunnuksen hyväksyntöjen jakamisen ja hallinnan eri sovellusten välillä, kun taas Universal Router yhdistää ERC-20:n ja nonfungible tokens (NFT:t) vaihtamisen yhdeksi vaihtoreitittimeksi.
Uniswap mainosti myös tuottoisaa bugipalkkioohjelmaa tunnistaakseen mahdolliset haavoittuvuudet älykkäissä sopimuksissa vuoden 2022 loppua kohti, kun se pyrki varmistamaan protokollansa turvallisuuden ja tehokkuuden.
Älykkäiden sopimusten turva- ja tilintarkastusyritys Dedaub ilmoitti saaneensa virhepalkkion havaittuaan Universal Router -älysopimuksessa olevan haavoittuvuuden, joka olisi antanut palaamisen kuluttaa käyttäjien varat kesken tapahtuman.
Dedaub-tiimi on paljastanut Uniswap-tiimin kriittisen haavoittuvuuden!
Varat ovat turvassa – Uniswap ratkaisi ongelman ja sijoitti Universal Router -älysopimukset uudelleen kaikkiin ketjuihinsa
Haavoittuvuus mahdollistaa uudelleen pääsyn kuluttaa käyttäjän varat, mid-tx.
— Dedaub (@dedaub) Tammikuu 2, 2023
Dedaubin erittelyn mukaan Universal Router antaa käyttäjille mahdollisuuden suorittaa erilaisia toimintoja, mukaan lukien useiden tokenien ja NFT:iden vaihtaminen yhdessä tapahtumassa.
Reitittimeen on upotettu komentosarjakieli monenlaisia tunnustoimintoja varten, joihin voi sisältyä siirtoja kolmansien osapuolien vastaanottajille. Jos ne toteutetaan oikein, siirrot menevät vastaanottajalle määritettyjen parametrien sisällä.
Related: Immunefi sanoo, että se on helpottanut 66 miljoonan dollarin bugipalkkioita alusta alkaen
Dedaub kuitenkin havaitsi haavoittuvuuden, jossa kolmannen osapuolen koodia kutsuttiin siirron aikana, mikä mahdollisti koodin palaamisen Universal Routeriin ja lunastaa kaikki sopimuksessa väliaikaisesti olleet tunnukset.
Dedaub ehdotti sitten suoraviivaista korjauskeinoa neuvoen Uniswap-tiimiä lisäämään sisääntulolukon uuden reitittimen ydintoimintoihin. Uniswap myönsi tilintarkastusyritykselle yhteensä 40,000 33 dollaria haavoittuvuuden ilmoittamisesta. Summaan sisältyi 2022 %:n bonus ongelman raportoinnista Uniswapin bonusjakson aikana marraskuussa XNUMX.
Uniswap luokitteli ongelman keskivakavaksi, kun taas lisäarvioinnin mukaan haavoittuvuudella oli suuri vaikutus ja pieni todennäköisyys. Dedaubin mukaan mahdollisuutta, että käyttäjä lähettää NFT:t suoraan epäluotettavalle vastaanottajalle, pidettiin käyttäjän virheenä.
Monimutkaisempia ja vähemmän todennäköisiä skenaarioita pidettiin kelvollisina palaamiseen, mikä johti siihen, että Uniswap katsoi vektorin olevan pieni todennäköisyys. Cointelegraph on ottanut yhteyttä Uniswapiin saadakseen lisätietoja meneillään olevasta palkkio-ohjelmastaan, maksetuista summista ja tähän mennessä havaittujen virheiden lukumäärästä.
Virhepalkkioista on tullut arkipäivää kryptovaluuttojen ja lohkoketjujen alalla, kun alustat ja yritykset pyrkivät varmistamaan ohjelmistojensa, järjestelmiensä ja infrastruktuurinsa turvallisuuden.
Kryptovaluuttavaihto Coinbase äskettäin selvensi bugipalkkion ehtoja, kun taas blockchain-turvayhtiö Immunefi on auttoi yli 65 miljoonaa dollaria arvoisia bugipalkkioita eettisten hakkerien ja Web3-yritysten välillä vuonna 2022.
Lähde: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability