Programul de recompensă pentru erori recent implementat de Uniswap a fost un succes uriaș, deoarece a ajutat la descoperirea și, ulterior, la rezolvarea unei vulnerabilități existente în contractul său inteligent Universal Router.
Cele două noi contracte inteligente, Permit2 și Universal Router, au fost lansate în noiembrie 2022. Prin partajarea și gestionarea aprobării jetonelor, contractul inteligent Permit2 oferă aplicațiilor acces la o serie de capabilități de autorizare securizate. Pe de altă parte, Universal Router compilează tranzacțiile ERC-20 și NFT într-un singur router de swap, oferind Uniswap o metodă mai eficientă de schimb între diferite tipuri de criptomonede.
Odată cu introducerea acestor noi contracte inteligente, Uniswap a anunțat și un program de recompensă pentru erori care ar ajuta platforma să detecteze eventualele vulnerabilități. Pe măsură ce piața monedei digitale și a blockchain-ului continuă să evolueze, recompensele pentru erori au devenit o modalitate prin care firmele se asigură că software-ul, sistemele și infrastructura lor critică sunt sigure.
Firma de auditare a securității DeFi Dedaub a fost printre primele care au primit un premiu important pentru munca lor de identificare a unei vulnerabilități în contractul inteligent pentru ruterul universal. Vulnerabilitatea a fost semnalată ca având capacitatea de a permite reintrarea în timpul confirmării unei tranzacții, care ar putea fi exploatată de actorii amenințărilor pentru a consuma apoi fondurile unui portofel.
Echipa Dedaub a dezvăluit o vulnerabilitate critică echipei Uniswap!
Fondurile sunt în siguranță – Uniswap a abordat problema și a redistribuit contractele inteligente Universal Router pe toate lanțurile sale 👏
Vulnerabilitatea permite reintrării să scurgă fondurile utilizatorului, mid-tx.
— Dedaub (@dedaub) Ianuarie 2, 2023
Dedaub explică că routerul universal oferă utilizatorilor posibilitatea de a face numeroase tranzacții simultan, cum ar fi schimbul de mai multe jetoane și NFT dintr-o singură mișcare. Limbajul de scripting integrat al routerului este capabil să realizeze o gamă largă de activități de tip token, inclusiv transferuri către beneficiari externi. Când se face corect pas cu pas, aceste fonduri vor fi livrate imediat dacă tranzacția îndeplinește criteriile stabilite de parametrii contractului inteligent.
Prin proiectare, acest lucru înseamnă că un cod terță parte, atunci când este invocat în timpul transferului, ar putea permite codului să intre din nou în routerul universal și să gestioneze sau să tragă jetoane care sunt în contractul inteligent pentru o perioadă temporară. Acest lucru i-a determinat pe cei de la Dedaub whitehats să sfătuiască Uniswap cu privire la o rezoluție, care a implicat corecția contractului inteligent cu o blocare de reintrare pentru modulul de execuție de bază al Universal Router.
Uniswap a acordat apoi rapid 40,000 USD echipei Dedaub pentru dezvăluirea promptă a acestora. Potrivit Uniswap, problema a fost de severitate medie, în timp ce evaluarea ulterioară a vulnerabilității a indicat un scenariu cu șanse reduse și cu impact ridicat. Dedaub confirmă că vectorul de atac poate fi considerat drept eroare de la sfârșitul utilizatorului, deoarece scenariul s-ar întâmpla doar dacă un utilizator trimite direct NFT-uri către un destinatar care nu are încredere.
Declinare de responsabilitate: Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie folosit ca sfaturi juridice, fiscale, de investiții, financiare sau de altă natură.
Sursa: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability