Uniswap nesen uzsāktā kļūdu novēršanas programma ir ļāvusi atklāt tagad labotu protokola universālā maršrutētāja viedā līguma ievainojamību.
Automatizētais tirgus veidotājs atbrīvots 2022. gada novembrī savā platformā tiks noslēgti divi jauni viedie līgumi. Permit2 ļauj koplietot un pārvaldīt marķieru apstiprinājumus dažādās lietojumprogrammās, savukārt Universal Router apvieno ERC-20 un nonfungible marķierus (NFT) vienā mijmaiņas maršrutētājā.
Uniswap arī reklamēja ienesīgu kļūdu atlīdzības programmu, lai 2022. gada beigās identificētu iespējamās ievainojamības savos viedajos līgumos, lai nodrošinātu sava protokola drošību un efektivitāti.
Viedā līgumu drošības un auditorfirma Dedaub paziņoja, ka ir saņēmusi atlīdzību par kļūdu pēc tam, kad tika atzīmēta ievainojamība Universal Router viedajā līgumā, kas būtu ļāvusi atkārtotai ienākšanai iztērēt lietotāju līdzekļus darījuma vidū.
Dedaub komanda ir atklājusi Uniswap komandas kritisko ievainojamību!
Līdzekļi ir droši — Uniswap atrisināja problēmu un pārizvietoja universālā maršrutētāja viedos līgumus visās tā ķēdēs
Ievainojamība ļauj atkārtotai ienākšanai, lai iztukšotu lietotāja līdzekļus, vidēji tx.
— Dedaubs (@dedaub) Janvāris 2, 2023
Saskaņā ar Dedaub sadalījumu universālais maršrutētājs ļauj lietotājiem veikt dažādas darbības, tostarp apmainīt vairākus marķierus un NFT vienā darījumā.
Maršrutētājs iegulst skriptu valodu visdažādākajām pilnvaru darbībām, kas var ietvert pārsūtīšanu trešo pušu adresātiem. Ja tas ir pareizi ieviests, pārskaitījumi tiks nosūtīti adresātam noteiktos parametros.
Saistītie: Immunefi saka, ka kopš pirmsākumiem tas ir veicinājis 66 miljonu dolāru atlīdzības par kļūdām
Tomēr Dedaub atklāja ievainojamību, kurā pārsūtīšanas laikā tika izsaukts trešās puses kods, ļaujot kodam atkārtoti ievadīt universālajā maršrutētājā un pieprasīt visus marķierus, kas īslaicīgi bija līgumā.
Pēc tam Dedaubs ieteica vienkāršu risinājumu, iesakot Uniswap komandai pievienot atkārtotas piekļuves bloķēšanu jaunā maršrutētāja galvenajai izpildei. Uniswap piešķīra auditorfirmai kopumā 40,000 33 USD par ievainojamības atzīmēšanu. Summā bija iekļauts 2022% bonuss par ziņošanu par problēmu Uniswap bonusa periodā XNUMX. gada novembrī.
Uniswap problēma tika klasificēta kā vidēja smaguma pakāpe, savukārt turpmākajā novērtējumā tika uzskatīts, ka ievainojamībai ir liela ietekme un zema iespējamība. Saskaņā ar Dedaub teikto, iespēja lietotājam tieši nosūtīt NFT neuzticamam adresātam tika uzskatīta par lietotāja kļūdu.
Sarežģītāki un mazāk ticami scenāriji tika uzskatīti par derīgiem atkārtotai ienākšanai, kā rezultātā Uniswap uzskatīja, ka vektoram ir maza iespējamība. Cointelegraph ir sazinājies ar Uniswap, lai noskaidrotu sīkāku informāciju par tā notiekošo balvu programmu, izmaksātajām summām un līdz šim konstatēto kļūdu skaitu.
Kļūdu piemaksas ir kļuvušas par ierastu parādību kriptovalūtu un blokķēdes telpā, jo platformas un uzņēmumi cenšas nodrošināt savas programmatūras, sistēmu un infrastruktūras drošību.
Kriptovalūtas maiņa Coinbase nesen precizēja tās kļūdu piemaksas noteikumus, savukārt blokķēdes drošības firmai Immunefi ir veicināja vairāk nekā 65 miljonus ASV dolāru vērtas naudas balvas starp ētiskiem hakeriem un Web3 uzņēmumiem 2022. gadā.
Avots: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability