UniSwap universālais maršrutētājs bija neaizsargāts pret atkārtotas ieejas uzbrukumiem

Šīs ievainojamības rašanās sākās novembrī, kad UniSwap iepazīstināja ar savu universālo maršrutētāju. Šis maršrutētājs apvieno NFT un ERC-20 apmaiņu ar vienu maiņas maršrutētāju. Mērķis bija palīdzēt lietotājiem veikt vairākas darbības, piemēram, apmainīt vairākus NFT un marķierus vienā darījumā. 

Pareizi lietojot, Universal Router komandas nosūtīs norādīto summu norādītajam adresātam. Tomēr, ja pārsūtīšanas laikā tiek izsaukts trešās puses kods, tas var atkārtoti ievadīt maršrutētāju un pieprasīt marķierus līgumā. Tas galvenokārt ir tāpēc, ka universālajam maršrutētājam bija atlikumi starp darījumiem. 

Savā koncepcijas pierādījumā Dedaub komanda atzīmēja, ka uzbrucējs var pievienot SWEEP komandu visiem marķieriem, kas palikuši pēc sākotnējo summu nosūtīšanas. Darījuma ietvaros saņēmējs varēja ātri iztērēt visu summu.

Uniswap komanda rīkojās ātri

Dedauba komanda acumirklī informēja UniSwap komandu par šāda uzbrukuma iespējamību. Viņi ieteica Uniswap komandai pirms izvietošanas jaunajā maršrutētājā iegult atkārtotas ieejas bloķēšanu. 

Uniswap problēmu risināja uzreiz, veicot nepieciešamās korekcijas pirms līguma pieņemšanas. Uniswap saņēma Dedaub komanda saņem 40 tūkst. $ kļūdu, lai parādītu savu apņemšanos nodrošināt personu drošību. Tomēr Uniswap komanda novērtēja problēmu kā lielu ietekmi, bet maz ticamu notikumu. Tādējādi tas var notikt ļoti sarežģītos scenārijos.

Jūsu darbs IR Klientu apkalpošana DEX protokols UniSwap parasti ir pazīstams ar atkārtotas ieejas uzbrukumiem. 2020. gadā parādījās ziņojumi, ka DEX kopā ar Lendf.me zaudēja 25 miljonus USD vienkāršā atkārtotas ieejas uzbrukumā. Tīkls ir cietis arī no citiem uzbrukumiem, piemēram, uzlaušanas. 2022. gada jūlijā hakeri sagrāba 8 miljonus ASV dolāru ETH izmantojot pikšķerēšanas uzbrukumu.

Sekojiet mums pakalpojumā Google ziņas