Program hadiah pepijat Uniswap yang baru dilaksanakan telah mencapai kejayaan besar, kerana ia membantu mendedahkan dan seterusnya menyelesaikan kelemahan sedia ada dalam kontrak pintar Penghala Universalnya.
Dua kontrak pintar baharu, Permit2 dan Universal Router, telah dikeluarkan pada November 2022. Melalui perkongsian dan pengurusan kelulusan token, kontrak pintar Permit2 memberikan aplikasi dengan akses kepada pelbagai keupayaan kebenaran selamat. Sebaliknya, Penghala Universal menyusun transaksi ERC-20 dan NFT ke dalam penghala swap tunggal, memberikan Uniswap kaedah yang lebih cekap untuk bertukar antara pelbagai jenis mata wang kripto.
Dengan pengenalan kontrak pintar baharu ini, Uniswap turut mengumumkan program hadiah pepijat yang akan membantu platform mengesan sebarang potensi kelemahan. Memandangkan mata wang digital dan pasaran blockchain terus berkembang, habuan pepijat telah menjadi cara untuk firma memastikan perisian, sistem dan infrastruktur kritikal mereka selamat.
Firma pengauditan keselamatan DeFi Dedaub adalah antara yang pertama menerima anugerah besar untuk usaha mereka mengenal pasti kelemahan pada kontrak pintar Universal Router. Kerentanan itu ditandakan sebagai mempunyai keupayaan untuk membenarkan kemasukan semula semasa masa pengesahan transaksi, yang boleh dieksploitasi oleh pelaku ancaman untuk kemudiannya mengalirkan dana dompet.
Pasukan Dedaub telah mendedahkan kelemahan Kritikal kepada pasukan Uniswap!
Dana selamat – Uniswap menangani isu tersebut dan menggunakan semula kontrak pintar Penghala Universal pada semua rangkaiannya 👏
Keterdedahan ini membolehkan keterlibatan semula menghabiskan dana pengguna, mid-tx.
— Dedaub (@dedaub) Januari 2, 2023
Dedaub menjelaskan bahawa Penghala Universal memberi peluang kepada pengguna untuk membuat banyak transaksi serentak, seperti menukar berbilang token dan NFT dalam satu perjalanan. Bahasa skrip bersepadu penghala mampu melakukan pelbagai aktiviti token termasuk pemindahan kepada penerima luar. Apabila dilakukan dengan betul langkah demi langkah, dana ini akan dihantar serta-merta sekiranya transaksi memenuhi kriteria yang ditetapkan oleh parameter kontrak pintar.
Mengikut reka bentuk, ini bermakna kod bahagian ketiga, apabila digunakan semasa pemindahan, boleh membenarkan kod memasuki semula Penghala Universal dan mengurus atau menarik token yang ada dalam kontrak pintar untuk tempoh sementara. Ini mendorong Whitehats Dedaub untuk menasihati Uniswap tentang resolusi, yang melibatkan menampal kontrak pintar dengan kunci kemasukan semula untuk modul pelaksanaan teras Penghala Universal.
Uniswap kemudian dengan pantas menganugerahkan $40,000 kepada pasukan Dedaub untuk pendedahan segera mereka. Menurut Uniswap, isu itu adalah tahap keterukan tahap sederhana, manakala penilaian selanjutnya terhadap kelemahan menunjukkan senario berkemungkinan rendah dan berimpak tinggi. Dedaub mengesahkan bahawa vektor serangan boleh dianggap sebagai ralat akhir pengguna, kerana senario hanya akan berlaku jika pengguna menghantar terus NFT kepada penerima yang tidak dipercayai.
Penafian: Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau nasihat lain.
Sumber: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability