Program hadiah pepijat Uniswap yang dilancarkan baru-baru ini telah membawa kepada penemuan kelemahan kontrak pintar Universal Router protokol yang kini telah diperbaiki.
Pembuat pasaran automatik dikeluarkan dua kontrak pintar baharu kepada platformnya pada November 2022. Permit2 membenarkan kelulusan token dikongsi dan diuruskan merentas aplikasi yang berbeza, manakala Universal Router menyatukan ERC-20 dan token tidak boleh kulat (NFT) bertukar menjadi penghala swap tunggal.
Uniswap juga mengiklankan program hadiah pepijat yang lumayan untuk mengenal pasti potensi kelemahan dalam kontrak pintarnya menjelang penghujung tahun 2022 kerana ia bertujuan untuk memastikan keselamatan dan keberkesanan protokolnya.
Firma keselamatan dan pengauditan kontrak pintar Dedaub mengumumkan bahawa ia telah menerima ganjaran pepijat selepas menandakan kelemahan dalam kontrak pintar Penghala Universal yang akan membenarkan kemasukan semula menghabiskan dana pengguna pada pertengahan transaksi.
Pasukan Dedaub telah mendedahkan kelemahan Kritikal kepada pasukan Uniswap!
Dana selamat – Uniswap menangani isu ini dan menggunakan semula kontrak pintar Penghala Universal pada semua rangkaiannya
Keterdedahan ini membolehkan keterlibatan semula menghabiskan dana pengguna, mid-tx.
— Dedaub (@dedaub) Januari 2, 2023
Mengikut pecahan Dedaub, Penghala Universal membolehkan pengguna melakukan pelbagai tindakan termasuk menukar berbilang token dan NFT dalam satu transaksi.
Penghala membenamkan bahasa skrip untuk pelbagai jenis tindakan token, yang boleh termasuk pemindahan kepada penerima pihak ketiga. Jika dilaksanakan dengan betul, pemindahan akan pergi kepada penerima dalam parameter yang ditentukan.
Berkaitan: Immunefi berkata ia telah memudahkan $66M dalam hadiah pepijat sejak penubuhannya
Walau bagaimanapun, Dedaub mengenal pasti kelemahan di mana kod pihak ketiga digunakan semasa pemindahan, membenarkan kod memasuki semula Penghala Universal dan menuntut sebarang token yang ada dalam kontrak buat sementara waktu.
Dedaub kemudian mencadangkan penyelesaian yang mudah, menasihati pasukan Uniswap untuk menambah kunci kemasukan semula pada pelaksanaan teras penghala baharu. Uniswap menganugerahkan firma pengauditan sejumlah $40,000 kerana membenderakan kelemahan tersebut. Jumlah itu termasuk bonus 33% untuk melaporkan isu semasa tempoh bonus Uniswap pada November 2022.
Uniswap mengklasifikasikan isu itu sebagai keterukan sederhana, manakala penilaian selanjutnya menganggap kerentanan itu mempunyai impak tinggi dan kemungkinan rendah. Menurut Dedaub, kemungkinan pengguna menghantar NFT kepada penerima yang tidak dipercayai secara langsung dianggap sebagai ralat pengguna.
Senario yang lebih kompleks dan kurang berkemungkinan dianggap sah untuk kemasukan semula, yang mengakibatkan Uniswap menganggap vektor mempunyai kemungkinan yang rendah. Cointelegraph telah menghubungi Uniswap untuk memastikan butiran lanjut tentang program hadiah yang sedang berjalan, jumlah yang dibayar dan bilangan pepijat yang dikenal pasti setakat ini.
Pemberian pepijat telah menjadi perkara biasa dalam ruang mata wang kripto dan blockchain kerana platform dan syarikat berusaha untuk memastikan keselamatan perisian, sistem dan infrastruktur mereka.
Pertukaran mata wang kripto Coinbase baru-baru ini menjelaskan syarat kurnia pepijatnya, manakala firma keselamatan blockchain Immunefi telah memudahkan lebih $65 juta ganjaran pepijat antara penggodam beretika dan firma Web3 pada tahun 2022.
Sumber: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability