Uniswapi äsja juurutatud vigade hüvitamise programm on olnud ülimalt edukas, kuna see aitas avastada ja seejärel lahendada universaalse ruuteri nutika lepingu olemasoleva haavatavuse.
Kaks uut nutikat lepingut, Permit2 ja Universal Router, avaldati 2022. aasta novembris. Lubade heakskiidu jagamise ja haldamise kaudu annab Permit2 nutikas leping rakendustele juurdepääsu mitmesugustele turvalistele autoriseerimisvõimalustele. Teisest küljest koondab Universal Router ERC-20 ja NFT tehingud ühte vahetusruuterisse, mis annab Uniswapile tõhusama meetodi erinevate krüptovaluutatüüpide vahetamiseks.
Nende uute nutikate lepingute kasutuselevõtuga teatas Uniswap ka veaprogrammist, mis aitaks platvormil tuvastada võimalikke haavatavusi. Kuna digitaalvaluuta ja plokiahela turg areneb edasi, on veahüvitised muutunud ettevõtetele võimaluseks tagada oma tarkvara, süsteemide ja kriitilise infrastruktuuri turvalisus.
DeFi turvaaudiitorfirma Dedaub sai esimeste seas kopsaka auhinna oma töö eest universaalse ruuteri nutika lepingu haavatavuse tuvastamisel. Haavatavus märgiti, et see võimaldab tehingu kinnitamise ajal uuesti siseneda, mida ohus osalejad võivad ära kasutada rahakoti vahendite tühjendamiseks.
Dedaubi meeskond on avaldanud Uniswap meeskonna kriitilise haavatavuse!
Rahalised vahendid on turvalised – Uniswap lahendas probleemi ja paigutas universaalse ruuteri nutikad lepingud ümber kõikidesse selle kettidesse 👏
Haavatavus võimaldab uuesti siseneda, et kulutada kasutaja raha, tx-i keskel.
— Dedaub (@dedaub) Jaanuar 2, 2023
Dedaub selgitab, et universaalne ruuter annab kasutajatele võimaluse teha korraga palju tehinguid, näiteks vahetada korraga mitu märgi ja NFT-d. Ruuteri integreeritud skriptikeel on võimeline tegema paljusid token-toiminguid, sealhulgas ülekandeid välistele maksesaajatele. Kui tehing on õige samm-sammult tehtud, jõuaks need rahad kohe kohale, kui tehing vastab nutika lepingu parameetrite kriteeriumidele.
Disainiliselt tähendab see, et kolmanda osa kood, kui seda edastuse ajal kutsutakse, võib lubada koodil uuesti universaalsesse ruuterisse siseneda ja hallata või tõmmata ajutiseks nutikas lepingus olevaid žetoone. See ajendas Dedaub whitehatsi Uniswapile nõu andma lahendust, mis hõlmas nutika lepingu parandamist universaalse ruuteri põhikäivitusmooduli taassisenemislukuga.
Seejärel määras Uniswap Dedaubi meeskonnale nende kiire avalikustamise eest kiiresti 40,000 XNUMX dollarit. Uniswapi sõnul oli probleem keskmise raskusastmega, samas kui haavatavuse edasine hindamine viitas väikese tõenäosusega ja suure mõjuga stsenaariumile. Dedaub kinnitab, et ründevektorit võib pidada kasutajalõpu veaks, sest stsenaarium juhtuks ainult siis, kui kasutaja saadab NFT-d otse ebausaldusväärsele adressaadile.
Kohustustest loobumine: see artikkel on ette nähtud ainult teavitamise eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- või muu nõuandena.
Allikas: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability