Programul de recompensă pentru erori lansat recent de Uniswap a dus la descoperirea unei vulnerabilități acum remediate a contractului inteligent al protocolului Universal Router.
Creatorul de piață automatizat eliberat două noi contracte inteligente pentru platforma sa în noiembrie 2022. Permit2 permite partajarea și gestionarea aprobărilor de token-uri în diferite aplicații, în timp ce Universal Router unifică ERC-20 și token-urile nefungibile (NFT) schimbând într-un singur router de schimb.
Uniswap a făcut, de asemenea, publicitate un program profitabil de recompensă pentru erori pentru a identifica potențialele vulnerabilități în contractele sale inteligente spre sfârșitul anului 2022, deoarece urmărea să asigure siguranța și eficacitatea protocolului său.
Firma de audit și securitate a contractelor inteligente Dedaub a anunțat că a primit o recompensă pentru erori după semnalarea unei vulnerabilități în contractul inteligent Universal Router care ar fi permis reintrării să scurgă fondurile utilizatorilor la mijlocul tranzacției.
Echipa Dedaub a dezvăluit o vulnerabilitate critică echipei Uniswap!
Fondurile sunt în siguranță – Uniswap a abordat problema și a redistribuit contractele inteligente de ruter universal pe toate lanțurile sale
Vulnerabilitatea permite reintrării să scurgă fondurile utilizatorului, mid-tx.
— Dedaub (@dedaub) Ianuarie 2, 2023
Conform defalcării lui Dedaub, routerul universal permite utilizatorilor să efectueze diverse acțiuni, inclusiv schimbarea mai multor jetoane și NFT într-o singură tranzacție.
Routerul încorporează un limbaj de scripting pentru o mare varietate de acțiuni token, care ar putea include transferuri către destinatari terți. Dacă sunt implementate corect, transferurile vor merge către destinatar în limitele parametrilor specificați.
Related: Immunefi spune că a facilitat 66 de milioane de dolari în recompense pentru erori de la început
Cu toate acestea, Dedaub a identificat o vulnerabilitate în care a fost invocat un cod terță parte în timpul transferului, permițând codului să intre din nou în Universal Router și să revendice orice token-uri care erau temporar în contract.
Dedaub a sugerat apoi un remediu simplu, sfătuind echipa Uniswap să adauge o blocare de reintrare la execuția de bază a noului router. Uniswap a acordat firmei de audit un total de 40,000 USD pentru semnalarea vulnerabilității. Suma a inclus un bonus de 33% pentru raportarea problemei în perioada bonusului Uniswap din noiembrie 2022.
Uniswap a clasificat problema ca fiind de severitate medie, în timp ce o evaluare ulterioară a considerat că vulnerabilitatea are un impact ridicat și o probabilitate scăzută. Potrivit lui Dedaub, posibilitatea ca un utilizator să trimită NFT direct unui destinatar neîncrezat a fost considerată o eroare a utilizatorului.
Scenariile mai complexe și mai puțin probabile au fost considerate valide pentru reintrare, ceea ce a condus la Uniswap să considere vectorul ca având o probabilitate scăzută. Cointelegraph a contactat Uniswap pentru a afla mai multe detalii despre programul său de recompense în desfășurare, sumele plătite și numărul de erori identificate până în prezent.
Recompensele de bug-uri au devenit obișnuite în spațiul criptomonedei și blockchain, deoarece platformele și companiile caută să asigure securitatea software-ului, sistemelor și infrastructurii lor.
Schimb de criptomonede Coinbase recent a clarificat termenii recompensei sale pentru erori, în timp ce firma de securitate blockchain Immunefi are a facilitat peste 65 de milioane de dolari recompense de bug-uri între hackerii etici și firmele Web3 în 2022.
Sursa: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability