Uniswapov nedavno pokrenuti bug bounty program doveo je do otkrića sada već popravljene ranjivosti pametnog ugovora Universal Router protokola.
Automatizirani proizvođač tržišta otpušten dva nova pametna ugovora na svoju platformu u studenom 2022. Permit2 omogućuje dijeljenje i upravljanje odobrenjima tokena u različitim aplikacijama, dok Universal Router ujedinjuje ERC-20 i nezamjenjive tokene (NFT) zamjenu u jedan swap router.
Uniswap je također reklamirao unosan program nagrađivanja za bugove kako bi identificirao potencijalne ranjivosti u svojim pametnim ugovorima krajem 2022. dok je nastojao osigurati sigurnost i učinkovitost svog protokola.
Tvrtka za sigurnost i reviziju pametnih ugovora Dedaub objavila je da je primila nagradu za bug nakon što je označila ranjivost u pametnom ugovoru Universal Router koja bi omogućila ponovni ulazak u crpljenje sredstava korisnika usred transakcije.
Dedaub tim otkrio je kritičnu ranjivost Uniswap timu!
Sredstva su sigurna – Uniswap je riješio problem i ponovno rasporedio pametne ugovore Universal Router na svim svojim lancima
Ranjivost dopušta ponovni ulazak radi iscrpljivanja korisnikovih sredstava, usred prijenosa.
— Dedaub (@dedaub) 2. 2023. XNUMX.
Prema Dedaubovoj raščlambi, Univerzalni usmjerivač omogućuje korisnicima izvođenje različitih radnji uključujući zamjenu više tokena i NFT-ova u jednoj transakciji.
Usmjerivač ugrađuje skriptni jezik za širok raspon radnji tokena, što može uključivati prijenose primateljima treće strane. Ako bi se ispravno implementirao, transferi bi išli primatelju unutar navedenih parametara.
Povezano: Immunefi kaže da je omogućio 66 milijuna dolara nagrada za bugove od početka
Međutim, Dedaub je identificirao ranjivost u kojoj je kod treće strane pozvan tijekom prijenosa, dopuštajući kodu da ponovno uđe u Univerzalni usmjerivač i zatraži sve tokene koji su bili privremeno u ugovoru.
Dedaub je tada predložio jednostavan lijek, savjetujući Uniswap timu da doda zaključavanje ponovnog ulaska u jezgru novog usmjerivača. Uniswap je revizorskoj tvrtki dodijelio ukupno 40,000 dolara za označavanje ranjivosti. Iznos je uključivao bonus od 33% za prijavu problema tijekom bonus razdoblja Uniswapa u studenom 2022.
Uniswap je klasificirao problem kao srednje ozbiljan, dok je daljnja procjena smatrala da ranjivost ima veliki utjecaj i malu vjerojatnost. Prema Dedaubu, mogućnost da korisnik izravno pošalje NFT-ove nepouzdanom primatelju smatra se korisničkom pogreškom.
Složeniji i manje vjerojatni scenariji smatrani su valjanima za ponovni ulazak, što je rezultiralo da Uniswap smatra da vektor ima malu vjerojatnost. Cointelegraph je stupio u kontakt s Uniswapom kako bi utvrdio daljnje pojedinosti o svom tekućem programu nagrada, isplaćenim iznosima i broju grešaka identificiranih do danas.
Nagrade za bugove postale su uobičajene u prostoru kriptovaluta i blockchaina jer platforme i tvrtke žele osigurati sigurnost svog softvera, sustava i infrastrukture.
Mjenjačnica kriptovaluta Coinbase nedavno razjasnio uvjete nagrade za bugove, dok tvrtka za sigurnost blockchaina Immunefi ima omogućio više od 65 milijuna dolara vrijedan nagrada za bugove između etičkih hakera i Web3 tvrtki u 2022.
Izvor: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability