Az Uniswap újonnan bevezetett hibajavító programja óriási sikert aratott, mivel segített feltárni és később feloldani az Univerzális Router intelligens szerződésében meglévő sebezhetőséget.
A két új intelligens szerződés, a Permit2 és az Universal Router 2022 novemberében jelent meg. A jogkivonat-jóváhagyás megosztása és kezelése révén a Permit2 intelligens szerződés hozzáférést biztosít az alkalmazások számára egy sor biztonságos engedélyezési képességhez. Másrészt az Universal Router egyetlen csereútválasztóba állítja össze az ERC-20 és NFT tranzakciókat, így az Uniswap hatékonyabb módszert kínál a különféle típusú kriptovaluták közötti cseréhez.
Az új intelligens szerződések bevezetésével az Uniswap egy hibajavító programot is bejelentett, amely segít a platformnak az esetleges sebezhetőségek észlelésében. Ahogy a digitális pénznemek és a blokkláncok piaca folyamatosan fejlődik, a hibákért járó jutalmak a cégek számára a szoftverek, rendszereik és kritikus infrastruktúráik biztonságának biztosítására szolgáló eszközzé váltak.
A DeFi biztonsági könyvvizsgáló cég, a Dedaub az elsők között kapott jelentős díjat az Univerzális Router intelligens szerződésen belüli sérülékenység azonosításán végzett munkájukért. A sérülékenységet úgy jelölték meg, hogy lehetővé teszi a tranzakció visszaigazolásának ideje alatt az újbóli belépést, amit a fenyegetés szereplői kihasználhatnak a pénztárca pénzének elszívására.
A Dedaub csapata felfedett egy kritikus sebezhetőséget az Uniswap csapat előtt!
Az alapok biztonságban vannak – Az Uniswap megoldotta a problémát, és áthelyezte az Universal Router intelligens szerződéseit az összes láncára 👏
A sérülékenység lehetővé teszi az újbóli belépést, hogy elszívja a felhasználó pénzét, tx közepén.
— Dedaub (@dedaub) Január 2, 2023
Dedaub elmagyarázza, hogy az Univerzális Router lehetőséget biztosít a felhasználóknak, hogy számos tranzakciót hajtsanak végre egyszerre, például több token és NFT cseréjét egyetlen lépésben. Az útválasztó integrált szkriptnyelve számos token-tevékenységre képes, beleértve a külső kedvezményezetteknek történő átutalásokat is. Ha lépésről lépésre helyesen hajtják végre, ezek az összegek azonnal kézbesítve lesznek, amennyiben a tranzakció megfelel az intelligens szerződés paraméterei által meghatározott kritériumoknak.
Tervezés szerint ez azt jelenti, hogy az átvitel során meghívott harmadik részből álló kód lehetővé teheti, hogy a kód ismét belépjen az Univerzális útválasztóba, és kezelje vagy lehívja az intelligens szerződésben lévő tokeneket ideiglenesen. Ez arra késztette a Dedaub whitehats-ot, hogy tanácsot adjon az Uniswapnak egy olyan megoldásról, amely magában foglalta az intelligens szerződés javítását a Universal Router alapvető végrehajtási moduljának visszalépési zárral.
Az Uniswap ezután gyorsan 40,000 XNUMX dollárt ítélt meg a Dedaub csapatának az azonnali tájékoztatásért. Az Uniswap szerint a probléma közepes súlyosságú volt, míg a sebezhetőség további értékelése alacsony esélyű, nagy hatású forgatókönyvre mutatott rá. A Dedaub megerősíti, hogy a támadási vektor felhasználó-végi hibának tekinthető, mivel a forgatókönyv csak akkor következne be, ha a felhasználó közvetlenül küld NFT-t egy nem megbízható címzettnek.
Jogi nyilatkozat: Ez a cikk csak tájékoztató jellegű. Nem ajánlják fel, és nem kívánják felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability