Uniswapov novo implementirani program za nagrađivanje grešaka bio je ogroman uspjeh, jer je pomogao u otkrivanju i naknadnom rješavanju postojeće ranjivosti u njegovom pametnom ugovoru Universal Router.
Dva nova pametna ugovora, Permit2 i Universal Router, objavljeni su još u novembru 2022. Kroz dijeljenje odobrenja tokena i upravljanje, pametni ugovor Permit2 daje aplikacijama pristup nizu mogućnosti bezbedne autorizacije. S druge strane, Universal Router kompajlira ERC-20 i NFT transakcije u jedan swap ruter, dajući Uniswapu efikasniji metod za razmjenu između različitih vrsta kriptovaluta.
Sa uvođenjem ovih novih pametnih ugovora, Uniswap je najavio i program za nagrađivanje grešaka koji bi pomogao platformi da otkrije sve potencijalne ranjivosti. Kako tržište digitalnih valuta i blokčeina nastavlja da se razvija, nagrade za greške su postale način da kompanije osiguraju sigurnost svog softvera, sistema i kritične infrastrukture.
DeFi sigurnosna revizorska kuća Dedaub bila je među prvima koja je dobila veliku nagradu za svoj rad na identifikaciji ranjivosti na pametnom ugovoru Universal Router. Ranjivost je označena kao mogućnost da dozvoli ponovni ulazak u vrijeme potvrde transakcije, što bi akteri prijetnji mogli iskoristiti da potom isprazne sredstva iz novčanika.
Dedaub tim je otkrio kritičnu ranjivost Uniswap timu!
Sredstva su sigurna – Uniswap je riješio problem i ponovo rasporedio pametne ugovore Universal Router na sve svoje lance 👏
Ranjivost omogućava ponovni ulazak da iscrpi korisnikova sredstva, mid-tx.
— Dedaub (@dedaub) Januar 2, 2023
Dedaub objašnjava da Univerzalni ruter pruža korisnicima mogućnost da izvrše brojne transakcije odjednom, kao što je razmjena više tokena i NFT-ova u jednom potezu. Integrisani skriptni jezik rutera je sposoban za široku lepezu aktivnosti tokena uključujući transfere vanjskim primaocima plaćanja. Kada se pravilno obavi korak po korak, ova sredstva će biti isporučena odmah ako transakcija ispuni kriterije postavljene parametrima pametnog ugovora.
Dizajnirano, to znači da kod treće strane, kada se pozove tokom prijenosa, može omogućiti kodu da ponovo uđe u Univerzalni ruter i upravlja ili povlači tokene koji su na pametnom ugovoru na privremeni period. Ovo je navelo Dedaub whitehats da savjetuju Uniswap rješenje, koje je uključivalo zakrpe pametnog ugovora sa zaključavanjem ponovnog ulaska za jezgro izvršnog modula Universal Routera.
Uniswap je potom brzo dodijelio 40,000 dolara Dedaub timu za njihovo brzo otkrivanje. Prema Uniswap-u, problem je bio srednjeg stepena ozbiljnosti, dok je dalja procjena ranjivosti ukazala na scenario male šanse i velikog uticaja. Dedaub potvrđuje da se vektor napada može smatrati greškom na kraju korisnika, jer bi se scenario dogodio samo ako korisnik direktno pošalje NFT-ove nepouzdanom primaocu.
Izjava o odricanju odgovornosti: Ovaj članak je samo u informativne svrhe. Nije ponuđen niti je namijenjen da se koristi kao pravni, porezni, investicioni, finansijski ili drugi savjet.
Izvor: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability