Neseniai paleista „Uniswap“ klaidų mažinimo programa leido atrasti dabar ištaisytą protokolo universalaus maršrutizatoriaus išmaniosios sutarties pažeidžiamumą.
Automatizuotas rinkos formuotojas išleido 2022 m. lapkričio mėn. platformoje bus sudarytos dvi naujos išmaniosios sutartys. „Permit2“ leidžia dalytis ir valdyti prieigos raktų patvirtinimus įvairiose programose, o „Universal Router“ sujungia ERC-20 ir nepakeičiamus prieigos raktus (NFT) į vieną mainų maršrutizatorių.
„Uniswap“ taip pat reklamavo pelningą klaidų kompensavimo programą, skirtą 2022 m. pabaigoje nustatyti galimus išmaniųjų sutarčių pažeidžiamumus, nes siekė užtikrinti savo protokolo saugumą ir veiksmingumą.
Išmaniųjų sutarčių saugos ir audito įmonė „Dedaub“ paskelbė, kad gavo atlygį už klaidas po to, kai pažymėjo „Universal Router“ išmaniojo kontrakto pažeidžiamumą, dėl kurio grįžus į rinką, naudotojo lėšos būtų išeikvotos įpusėjus sandoriui.
„Dedaub“ komanda atskleidė „Uniswap“ komandos kritinį pažeidžiamumą!
Lėšos saugios – „Uniswap“ išsprendė problemą ir perkėlė „Universal Router“ išmaniąsias sutartis visose savo grandinėse
Pažeidžiamumas leidžia pakartotinai patekti į naudotojo lėšas.
– Dedaub (@dedaub) Sausis 2, 2023
Remiantis Dedaubo suskirstymu, universalus maršrutizatorius leidžia vartotojams atlikti įvairius veiksmus, įskaitant kelių žetonų ir NFT keitimą viena operacija.
Maršrutizatorius įterpia scenarijų kalbą, skirtą įvairiems žetonų veiksmams, įskaitant perdavimą trečiųjų šalių gavėjams. Tinkamai įgyvendinus, pervedimai bus perduoti gavėjui pagal nurodytus parametrus.
Susiję: „Immunefi“ teigia, kad nuo pat veiklos pradžios ji padėjo 66 mln
Tačiau Dedaub nustatė pažeidžiamumą, kai perdavimo metu buvo iškviestas trečiosios šalies kodas, leidžiantis kodui vėl patekti į universalųjį maršrutizatorių ir reikalauti visų laikinai sutartyje buvusių žetonų.
Tada Dedaubas pasiūlė paprastą sprendimą, patardamas Uniswap komandai į pagrindinį naujojo maršrutizatoriaus veikimą įtraukti pakartotinio įėjimo užraktą. „Uniswap“ skyrė audito įmonei iš viso 40,000 33 USD už pažeidžiamumo žymėjimą. Į sumą buvo įtraukta 2022 % premija už pranešimą apie problemą Uniswap premijos laikotarpiu XNUMX m. lapkričio mėn.
Uniswap problema klasifikuojama kaip vidutinio sunkumo, o tolesnis vertinimas parodė, kad pažeidžiamumas turi didelį poveikį ir mažą tikimybę. Dedaubo teigimu, galimybė, kad vartotojas tiesiogiai siųs NFT nepatikimam gavėjui, buvo laikoma vartotojo klaida.
Sudėtingesni ir mažiau tikėtini scenarijai buvo laikomi tinkamais pakartotiniam įėjimui, todėl Uniswap nusprendė, kad vektorius turi mažą tikimybę. „Cointelegraph“ susisiekė su „Uniswap“, kad išsiaiškintų daugiau informacijos apie vykdomą premijų programą, išmokėtas sumas ir iki šiol nustatytų klaidų skaičių.
Klaidos tapo įprasta kriptovaliutų ir blokų grandinės erdvėje, nes platformos ir įmonės siekia užtikrinti savo programinės įrangos, sistemų ir infrastruktūros saugumą.
Kriptovaliutų birža Coinbase neseniai patikslino savo klaidų premijos sąlygas, o blokų grandinės saugumo įmonė „Immunefi“ turi padėjo daugiau nei 65 mln vertės kompensacijų už klaidas tarp etiškų įsilaužėlių ir Web3 firmų 2022 m.
Šaltinis: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability