Pasukan Dedaub baru-baru ini mendedahkan kelemahan pada kontrak UniSwap yang boleh membahayakan sesetengah pengguna.
Kerentanan UniSwap
Dalam tweet baru-baru ini, Dedaub mendedahkan bahawa mereka menemui pepijat pada kontrak UniSwap dan memberitahu mereka tentang kelemahan itu. Apabila maklum balas diterima, "UniSwap menangani isu ini dan menggunakan semula kontrak pintar Penghala Universal pada semua rangkaiannya."
Menurut Tweet oleh Dedaub, kelemahan ini membuka jalan kepada serangan kemasukan semula, yang akan menguras dana pengguna. Pasukan Dedaub menerangkan cara penyerang akan menggunakan kelemahan ini.
Kelahiran kelemahan ini berpunca sejak November apabila UniSwap memperkenalkan Penghala Universalnya. Penghala ini menyatukan pertukaran NFT dan ERC-20 kepada satu penghala swap tunggal. Matlamatnya adalah untuk membantu pengguna melakukan pelbagai tindakan seperti menukar berbilang NFT dan token dalam satu transaksi.
Apabila digunakan dengan betul, arahan Penghala Universal akan menghantar jumlah yang ditentukan kepada penerima yang ditentukan. Walau bagaimanapun, jika kod pihak ketiga dipanggil semasa pemindahan, ia boleh memasuki semula penghala dan menuntut token dalam kontrak. Ini terutamanya kerana Penghala Universal memegang baki antara urus niaga.
Dalam Bukti Konsep mereka, pasukan Dedaub menyatakan bahawa penyerang boleh menambah perintah SWEEP untuk semua token yang tinggal selepas jumlah awal dihantar. Sebagai sebahagian daripada urus niaga, penerima boleh menghabiskan keseluruhan jumlah dengan cepat.
Pasukan Uniswap bertindak pantas
Pasukan Dedaub segera memaklumkan kepada pasukan UniSwap tentang kemungkinan serangan sedemikian. Mereka menasihatkan pasukan Uniswap untuk membenamkan kunci kemasukan semula dalam penghala baharu mereka sebelum digunakan.
Uniswap menangani isu itu serta-merta, membuat pelarasan yang diperlukan sebelum menerima pakai kontrak. Uniswap menganugerahkan Dedaub pasukan hadiah pepijat $40 ribu untuk menunjukkan komitmen mereka terhadap keselamatan individu. Walau bagaimanapun, pasukan Uniswap menilai masalah itu sebagai acara berimpak tinggi tetapi berkemungkinan rendah. Oleh itu, ini boleh berlaku dalam senario yang sangat kompleks.
. Protokol DEX UniSwap biasanya biasa dengan serangan masuk semula. Pada tahun 2020, laporan muncul bahawa DEX, bersama-sama dengan Lendf.me, kehilangan $25 juta dalam serangan masuk semula yang mudah. Rangkaian itu juga telah mengalami serangan lain seperti penggodaman. Pada Julai 2022, penggodam telah menangkap $8 juta ETH menggunakan serangan pancingan data.
Sumber: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/