Uniswapin äskettäin käyttöön otettu bugipalkkio-ohjelma on ollut suuri menestys, koska se auttoi paljastamaan ja myöhemmin ratkaisemaan Universal Router -älysopimuksensa olemassa olevan haavoittuvuuden.
Kaksi uutta älykästä sopimusta, Permit2 ja Universal Router, julkaistiin marraskuussa 2022. Token-hyväksynnän jakamisen ja hallinnan kautta Permit2-älysopimus antaa sovelluksille pääsyn useisiin suojattuihin valtuutusominaisuuksiin. Toisaalta Universal Router kokoaa ERC-20- ja NFT-tapahtumat yhdeksi swap-reitittimeksi, mikä antaa Uniswapille tehokkaamman tavan vaihtaa erityyppisten kryptovaluuttojen välillä.
Näiden uusien älykkäiden sopimusten käyttöönoton myötä Uniswap julkisti myös bugipalkkioohjelman, joka auttaisi alustaa havaitsemaan mahdolliset haavoittuvuudet. Digitaalisten valuuttojen ja lohkoketjujen markkinoiden kehittyessä vikapalkkioista on tullut yritysten tapa varmistaa ohjelmistojen, järjestelmiensä ja kriittisten infrastruktuuriensa turvallisuutta.
DeFi-tietoturvaauditointiyritys Dedaub oli ensimmäisten joukossa, joka sai suuren palkinnon työstään Universal Router -älysopimuksen haavoittuvuuden tunnistamiseksi. Haavoittuvuuden ilmoitettiin pystyvän sallimaan uudelleen pääsyn tapahtuman vahvistusaikana, mitä uhkaavat toimijat saattoivat käyttää hyväkseen ja tyhjentää lompakon varat.
Dedaub-tiimi on paljastanut Uniswap-tiimin kriittisen haavoittuvuuden!
Varat ovat turvassa – Uniswap ratkaisi ongelman ja sijoitti Universal Router -älysopimukset uudelleen kaikkiin ketjuihinsa 👏
Haavoittuvuus mahdollistaa uudelleen pääsyn kuluttaa käyttäjän varat, mid-tx.
— Dedaub (@dedaub) Tammikuu 2, 2023
Dedaub selittää, että Universal Router tarjoaa käyttäjille mahdollisuuden tehdä useita tapahtumia kerralla, kuten vaihtaa useita tokeneita ja NFT:itä yhdellä kertaa. Reitittimen integroitu komentosarjakieli pystyy suorittamaan laajan valikoiman tunnustoimintoja, mukaan lukien siirrot ulkoisille maksunsaajille. Oikein askel askeleelta tehtynä nämä varat toimitettaisiin heti, jos tapahtuma täyttää älykkään sopimuksen parametrien asettamat kriteerit.
Suunniteltuna tämä tarkoittaa, että siirron aikana kutsuttu kolmannen osan koodi voi sallia koodin palata Universal Routeriin ja hallita tai vetää tunnisteita, jotka ovat älykkäässä sopimuksessa väliaikaisesti. Tämä sai Dedaub whitehatsin neuvomaan Uniswapia ratkaisusta, joka sisälsi älysopimuksen korjaamisen Universal Routerin ydinsuoritusmoduulin paluulukolla.
Uniswap myönsi sitten nopeasti 40,000 XNUMX dollaria Dedaub-tiimille heidän nopeasta paljastamisestaan. Uniswapin mukaan ongelma oli keskitason vakavuus, kun taas haavoittuvuuden lisäarvioinnit osoittivat alhaisen todennäköisyyden ja suuren vaikutuksen skenaarion. Dedaub vahvistaa, että hyökkäysvektoria voidaan pitää käyttäjäpään virheenä, koska skenaario tapahtuisi vain, jos käyttäjä lähettää suoraan NFT:t epäluotettavalle vastaanottajalle.
Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi laki-, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability