Uniswap tikko ieviestā kļūdu novēršanas programma ir bijusi ļoti veiksmīga, jo tā palīdzēja atklāt un pēc tam novērst esošo ievainojamību tā Universal Router viedajā līgumā.
Divi jaunie viedie līgumi — Permit2 un Universal Router — tika izlaisti 2022. gada novembrī. Izmantojot pilnvaru apstiprinājuma kopīgošanu un pārvaldību, Permit2 viedais līgums nodrošina lietojumprogrammām piekļuvi virknei drošu autorizācijas iespēju. No otras puses, Universal Router apkopo ERC-20 un NFT darījumus vienā mijmaiņas maršrutētājā, nodrošinot Uniswap efektīvāku metodi apmaiņai starp dažāda veida kriptovalūtām.
Ieviešot šos jaunos viedos līgumus, Uniswap arī paziņoja par kļūdu novēršanas programmu, kas palīdzēs platformai atklāt visas iespējamās ievainojamības. Tā kā digitālās valūtas un blokķēžu tirgus turpina attīstīties, kļūdu piemaksas ir kļuvušas par veidu, kā uzņēmumi var nodrošināt programmatūras, sistēmu un kritiskās infrastruktūras drošību.
DeFi drošības audita uzņēmums Dedaub bija viens no pirmajiem, kas saņēma ievērojamu balvu par darbu, lai identificētu ievainojamību Universal Router viedajā līgumā. Ievainojamība tika atzīmēta kā tāda, kas var atļaut atkārtotu ienākšanu darījuma apstiprināšanas laikā, ko apdraudētāji var izmantot, lai pēc tam iztukšotu maka līdzekļus.
Dedaub komanda ir atklājusi Uniswap komandas kritisko ievainojamību!
Līdzekļi ir droši — Uniswap atrisināja problēmu un pārizvietoja universālā maršrutētāja viedos līgumus visās tā ķēdēs 👏
Ievainojamība ļauj atkārtotai ienākšanai, lai iztukšotu lietotāja līdzekļus, vidēji tx.
— Dedaubs (@dedaub) Janvāris 2, 2023
Dedaub skaidro, ka universālais maršrutētājs sniedz lietotājiem iespēju vienlaikus veikt daudzus darījumus, piemēram, apmainīties ar vairākiem marķieriem un NFT vienā reizē. Maršrutētāja integrētā skriptu valoda spēj veikt plašu marķiera darbību klāstu, tostarp pārskaitījumus ārējiem maksājumu saņēmējiem. Pareizi soli pa solim veicot, šie līdzekļi tiktu piegādāti uzreiz, ja darījums atbilstu viedā līguma parametru noteiktajiem kritērijiem.
Pēc konstrukcijas tas nozīmē, ka trešās daļas kods, ja tas tiek izsaukts pārsūtīšanas laikā, varētu ļaut kodam atkārtoti ievadīt universālo maršrutētāju un pārvaldīt vai izvilkt marķierus, kas uz laiku ir iekļauti viedajā līgumā. Tas mudināja Dedaub whitehats ieteikt Uniswap par risinājumu, kas ietvēra viedā līguma aizlāpīšanu ar atkārtotas ieejas bloķēšanu universālā maršrutētāja pamata izpildes modulim.
Pēc tam Uniswap ātri piešķīra Dedaub komandai USD 40,000 XNUMX par viņu tūlītēju izpaušanu. Saskaņā ar Uniswap teikto, problēma bija vidēja smaguma pakāpe, savukārt turpmāks ievainojamības novērtējums norādīja uz mazas izredzes un lielas ietekmes scenāriju. Dedaub apstiprina, ka uzbrukuma vektoru var uzskatīt par lietotāja gala kļūdu, jo scenārijs notiktu tikai tad, ja lietotājs tieši nosūta NFT neuzticamam adresātam.
Atruna: Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridisku, nodokļu, ieguldījumu, finanšu vai citu padomu.
Avots: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability