Uniswapi hiljuti käivitatud vigade hüvitamise programm on viinud protokolli universaalse ruuteri nutika lepingu nüüdseks parandatud haavatavuse avastamiseni.
Automatiseeritud turutegija vabastatud kaks uut nutikat lepingut oma platvormile 2022. aasta novembris. Permit2 võimaldab žetoonide kinnitusi jagada ja hallata erinevate rakenduste vahel, samas kui Universal Router ühendab ERC-20 ja nonfungible tokenid (NFT-d) üheks vahetusruuteriks.
Uniswap reklaamis 2022. aasta lõpus ka tulusat vigade hüvitamise programmi, et tuvastada XNUMX. aasta lõpus oma nutikate lepingute võimalikud haavatavused, et tagada protokolli ohutus ja tõhusus.
Nutikate lepingute turbe- ja audiitorfirma Dedaub teatas, et sai veahüvitise pärast universaalse ruuteri nutika lepingu haavatavuse märkimist, mis oleks võimaldanud naasmisel tehingu keskel kasutaja raha kulutada.
Dedaubi meeskond on avaldanud Uniswap meeskonna kriitilise haavatavuse!
Rahalised vahendid on turvalised – Uniswap lahendas probleemi ja paigutas universaalse ruuteri nutikad lepingud ümber kõikidesse oma kettidesse
Haavatavus võimaldab uuesti siseneda, et kulutada kasutaja raha, tx-i keskel.
— Dedaub (@dedaub) Jaanuar 2, 2023
Dedaubi jaotuse kohaselt võimaldab universaalne ruuter kasutajatel teha erinevaid toiminguid, sealhulgas vahetada ühe tehinguga mitut märgi ja NFT-d.
Ruuter manustab skriptikeele paljude erinevate märgitoimingute jaoks, mis võivad hõlmata edastusi kolmandatest osapooltest adressaatidele. Kui see on õigesti rakendatud, lähevad ülekanded adressaadile kindlaksmääratud parameetrite piires.
Seotud: Immunefi ütleb, et see on algusest peale võimaldanud vigade eest maksta 66 miljonit dollarit
Kuid Dedaub tuvastas haavatavuse, mille puhul ülekande ajal kutsuti välja kolmanda osapoole kood, mis võimaldas koodil uuesti universaalsesse ruuterisse siseneda ja nõuda kõik ajutiselt lepingus olnud märgid.
Seejärel pakkus Dedaub välja lihtsa lahenduse, soovitades Uniswapi meeskonnal lisada uue ruuteri põhitegevusele taassisenemise lukk. Uniswap andis audiitorfirmale haavatavuse märgistamise eest kokku 40,000 33 dollarit. Summa sisaldas 2022% boonust probleemist teatamise eest Uniswapi boonusperioodil XNUMX. aasta novembris.
Uniswap klassifitseeris probleemi keskmise tõsidusega, samas kui edasine hindamine leidis, et haavatavus on suure mõjuga ja väikese tõenäosusega. Dedaubi sõnul peeti kasutaja veaks võimalust, et kasutaja saadab NFT-d otse ebausaldusväärsele adressaadile.
Keerulisemaid ja vähemtõenäolisemaid stsenaariume peeti taassisenemise jaoks kehtivateks, mille tulemusena pidas Uniswap vektorit väikese tõenäosusega. Cointelegraph on pöördunud Uniswapiga, et selgitada välja täiendavad üksikasjad oma käimasoleva bounty-programmi, väljamakstud summade ja seni tuvastatud vigade arvu kohta.
Vearahad on krüptovaluutade ja plokiahelate valdkonnas muutunud tavapäraseks, kuna platvormid ja ettevõtted soovivad tagada oma tarkvara, süsteemide ja infrastruktuuri turvalisuse.
Hiljuti krüptovaluutavahetus Coinbase selgitas selle vearaha tingimusi, samas kui plokiahela turvafirmal Immunefi on hõlbustas üle 65 miljoni dollari 3. aastal eetiliste häkkerite ja Web2022 ettevõtete vahel veatasusid.
Allikas: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability