„Uniswap“ naujai įdiegta klaidų programa buvo nepaprastai sėkminga, nes padėjo atskleisti ir vėliau pašalinti esamą „Universal Router“ išmaniosios sutarties pažeidžiamumą.
Dvi naujos išmaniosios sutartys „Permit2“ ir „Universal Router“ buvo išleistos 2022 m. lapkritį. Naudojant prieigos raktų patvirtinimo bendrinimą ir valdymą, „Permit2“ išmanioji sutartis suteikia programoms prieigą prie daugybės saugaus autorizavimo galimybių. Kita vertus, universalus maršrutizatorius sujungia ERC-20 ir NFT operacijas į vieną apsikeitimo maršrutizatorių, suteikdamas Uniswap efektyvesnį būdą keistis tarp įvairių tipų kriptovaliutų.
Pristačiusi šias naujas išmaniąsias sutartis, Uniswap taip pat paskelbė apie klaidų mažinimo programą, kuri padėtų platformai aptikti bet kokius galimus pažeidžiamumus. Kadangi skaitmeninės valiutos ir blokų grandinės rinka ir toliau vystosi, kompensacijos už klaidas tapo būdu įmonėms užtikrinti, kad jų programinė įranga, sistemos ir svarbi infrastruktūra būtų saugūs.
„DeFi“ saugos audito įmonė „Dedaub“ buvo viena iš pirmųjų, gavusių didelį apdovanojimą už darbą nustatant „Universal Router“ išmaniosios sutarties pažeidžiamumą. Pažeidžiamumas buvo pažymėtas kaip turintis galimybę pakartotinai patekti į operaciją operacijos patvirtinimo metu, o grėsmės veikėjai gali tuo pasinaudoti, kad išeikvotų piniginės lėšas.
„Dedaub“ komanda atskleidė „Uniswap“ komandos kritinį pažeidžiamumą!
Lėšos saugios – „Uniswap“ išsprendė problemą ir perkėlė „Universal Router“ išmaniąsias sutartis visose grandinėse 👏
Pažeidžiamumas leidžia pakartotinai patekti į naudotojo lėšas.
– Dedaub (@dedaub) Sausis 2, 2023
Dedaubas paaiškina, kad universalus maršrutizatorius suteikia vartotojams galimybę vienu metu atlikti daugybę operacijų, pavyzdžiui, vienu metu keistis keliais žetonais ir NFT. Maršrutizatoriaus integruota scenarijų kalba gali atlikti daugybę žetonų veiksmų, įskaitant pervedimus išoriniams gavėjams. Teisingai žingsnis po žingsnio atlikus, šios lėšos būtų pristatytos iš karto, jei sandoris atitiktų išmaniosios sutarties parametrų nustatytus kriterijus.
Pagal dizainą tai reiškia, kad trečiosios dalies kodas, kai iškviečiamas perdavimo metu, gali leisti kodui pakartotinai patekti į universalųjį maršrutizatorių ir tvarkyti arba ištraukti žetonus, kurie yra išmaniojoje sutartyje laikinai. Tai paskatino „Dedaub whitehats“ patarti „Uniswap“ priimti sprendimą, kuris apėmė išmaniosios sutarties pataisymą su „Universal Router“ pagrindinio vykdymo modulio pakartotinio įėjimo užraktu.
Tada Uniswap greitai skyrė 40,000 XNUMX USD Dedaub komandai už greitą atskleidimą. Pasak Uniswap, problema buvo vidutinio sunkumo, o tolesnis pažeidžiamumo vertinimas parodė mažos tikimybės ir didelio poveikio scenarijų. Dedaub patvirtina, kad atakos vektorius gali būti laikomas vartotojo klaida, nes scenarijus įvyktų tik tuo atveju, jei vartotojas tiesiogiai siunčia NFT nepatikimam gavėjui.
Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams tikslams. Jis nėra siūlomas ir nėra skirtas naudoti kaip teisinis, mokesčių, investicijų, finansinis ar kitas patarimas.
Šaltinis: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability