Programi bug bounty i lëshuar së fundmi i Uniswap-it ka çuar në zbulimin e një cenueshmërie të fiksuar tani të kontratës inteligjente Universal Router të protokollit.
Prodhuesi i automatizuar i tregut lëshuar dy kontrata të reja inteligjente në platformën e saj në nëntor 2022. Permit2 lejon që miratimet e tokenit të ndahen dhe menaxhohen nëpër aplikacione të ndryshme, ndërsa Router Universal unifikon ERC-20 dhe tokenat e pandryshueshëm (NFT) që shkëmbehen në një ruter të vetëm shkëmbimi.
Uniswap reklamoi gjithashtu një program fitimprurës të bujaritetit për të identifikuar dobësitë e mundshme në kontratat e tij inteligjente deri në fund të vitit 2022, ndërsa synonte të siguronte sigurinë dhe efikasitetin e protokollit të tij.
Firma e sigurisë dhe auditimit të kontratave inteligjente Dedaub njoftoi se kishte marrë një shpërblim për gabime pasi kishte shënuar një cenueshmëri në kontratën inteligjente të Routerit Universal që do të kishte lejuar rihyrjen për të shteruar fondet e përdoruesit në mes të transaksionit.
Ekipi Dedaub ka zbuluar një cenueshmëri kritike për ekipin e Uniswap!
Fondet janë të sigurta – Uniswap adresoi problemin dhe rishpërndau kontratat inteligjente të Routerit Universal në të gjithë zinxhirët e tij
Dobësia lejon rihyrjen për të kulluar fondet e përdoruesit, në mes të TX.
— Dedaub (@dedaub) Janar 2, 2023
Sipas ndarjes së Dedaub, Ruteri Universal i lejon përdoruesit të kryejnë veprime të ndryshme, duke përfshirë shkëmbimin e shumë argumenteve dhe NFT-ve në një transaksion.
Ruteri fut një gjuhë skriptimi për një gamë të gjerë veprimesh token, të cilat mund të përfshijnë transferime tek marrësit e palëve të treta. Nëse zbatohen saktë, transferimet do të shkojnë te marrësi brenda parametrave të specifikuar.
Related: Immunefi thotë se ka lehtësuar 66 milion dollarë në shpërblimet e gabimeve që nga fillimi
Sidoqoftë, Dedaub identifikoi një dobësi në të cilën u thirr një kod i palës së tretë gjatë transferimit, duke lejuar që kodi të rihynte në Routerin Universal dhe të pretendonte çdo shenjë që ishte përkohësisht në kontratë.
Dedaub më pas sugjeroi një zgjidhje të drejtpërdrejtë, duke këshilluar ekipin e Uniswap që të shtojë një bllokim të rihyrjes në ekzekutimin thelbësor të ruterit të ri. Uniswap i dha firmës së auditimit një total prej 40,000 dollarësh për shënjimin e cenueshmërisë. Shuma përfshinte një bonus prej 33% për raportimin e problemit gjatë periudhës së bonusit të Uniswap në nëntor 2022.
Uniswap e klasifikoi çështjen si ashpërsi mesatare, ndërsa vlerësimi i mëtejshëm vlerësoi se cenueshmëria kishte një ndikim të lartë dhe probabilitet të ulët. Sipas Dedaub, mundësia që një përdorues të dërgojë NFT drejtpërsëdrejti te një marrës i pabesueshëm u konsiderua si një gabim i përdoruesit.
Skenarët më kompleksë dhe më pak të mundshëm u konsideruan të vlefshëm për rihyrje, gjë që rezultoi në Uniswap duke e konsideruar vektorin të ketë një probabilitet të ulët. Cointelegraph ka kontaktuar me Uniswap për të konstatuar detaje të mëtejshme të programit të saj të shpërblimeve në vazhdim, shumat e paguara dhe numrin e gabimeve të identifikuara deri më sot.
Shpërblimet e gabimeve janë bërë të zakonshme në hapësirën e kriptomonedhës dhe blockchain pasi platformat dhe kompanitë kërkojnë të sigurojnë sigurinë e softuerit, sistemeve dhe infrastrukturës së tyre.
Shkëmbimi i kriptomonedhave Coinbase kohët e fundit sqaroi kushtet e bujarisë së tij të gabimeve, ndërsa firma e sigurisë blockchain Immunefi ka lehtësuar mbi 65 milionë dollarë me vlerë të bugrave midis hakerëve etikë dhe firmave Web3 në 2022.
Burimi: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability