Programi i sapo implementuar i bug bounty i Uniswap ka qenë një sukses i zhurmshëm, pasi ndihmoi në zbulimin dhe zgjidhjen më pas të një cenueshmërie ekzistuese në kontratën e tij inteligjente Universal Router.
Dy kontratat e reja inteligjente, Permit2 dhe Universal Router, u lëshuan në nëntor 2022. Nëpërmjet ndarjes dhe menaxhimit të miratimit të tokenit, kontrata inteligjente Permit2 u jep aplikacioneve akses në një sërë aftësish të sigurta autorizimi. Nga ana tjetër, Universal Router përpilon transaksionet ERC-20 dhe NFT në një ruter të vetëm shkëmbimi, duke i dhënë Uniswap një metodë më efikase për shkëmbimin midis llojeve të ndryshme të kriptomonedhave.
Me prezantimin e këtyre kontratave të reja inteligjente, Uniswap njoftoi gjithashtu një program bug bounty i cili do të ndihmonte platformën të zbulonte çdo dobësi të mundshme. Ndërsa tregu i monedhës dixhitale dhe blockchain vazhdon të evoluojë, shpërblimet e gabimeve janë bërë një mënyrë për firmat për të siguruar që softueri, sistemet dhe infrastruktura kritike e tyre janë të sigurta.
Firma e auditimit të sigurisë DeFi Dedaub ishte ndër të parat që mori një çmim të madh për punën e tyre në identifikimin e një cenueshmërie në kontratën inteligjente Universal Router. Dobësia u raportua se kishte aftësinë për të lejuar rihyrje gjatë kohës së konfirmimit të një transaksioni, e cila mund të shfrytëzohej nga aktorët e kërcënimit për të kulluar më pas fondet e portofolit.
Ekipi Dedaub ka zbuluar një cenueshmëri kritike për ekipin e Uniswap!
Fondet janë të sigurta – Uniswap trajtoi problemin dhe rishpërndau kontratat inteligjente të Routerit Universal në të gjithë zinxhirët e tij 👏
Dobësia lejon rihyrjen për të kulluar fondet e përdoruesit, në mes të TX.
— Dedaub (@dedaub) Janar 2, 2023
Dedaub shpjegon se Router Universal u ofron përdoruesve mundësinë për të kryer transaksione të shumta në të njëjtën kohë, të tilla si shkëmbimi i shumë shenjave dhe NFT-ve në një lëvizje të vetme. Gjuha e integruar e skriptimit të ruterit është e aftë për një gamë të gjerë aktivitetesh simbolike, duke përfshirë transferime te paguesit e jashtëm. Kur bëhet në mënyrë korrekte hap pas hapi, këto fonde do të dorëzohen menjëherë nëse transaksioni plotëson kriteret e përcaktuara nga parametrat e kontratës inteligjente.
Sipas dizajnit, kjo do të thotë që një kod i pjesës së tretë, kur thirret gjatë transferimit, mund të lejojë që kodi të rihyjë në Routerin Universal dhe të menaxhojë ose tërheqë shenjat që janë në kontratën inteligjente për një periudhë të përkohshme. Kjo bëri që Dedaub whitehats të këshillonte Uniswap-in për një rezolutë, e cila përfshinte rregullimin e kontratës inteligjente me një bllokim të rihyrjes për modulin kryesor të ekzekutimit të Universal Router.
Uniswap më pas i dha me shpejtësi 40,000 dollarë ekipit Dedaub për zbulimin e tyre të menjëhershëm. Sipas Uniswap, çështja ishte e ashpërsisë së nivelit të mesëm, ndërsa vlerësimi i mëtejshëm i cenueshmërisë tregoi për një skenar me shanse të ulëta dhe me ndikim të lartë. Dedaub konfirmon se vektori i sulmit mund të konsiderohet si gabim i përdoruesit, sepse skenari do të ndodhte vetëm nëse një përdorues dërgon drejtpërdrejt NFT te një marrës i pabesueshëm.
Përgjegjësia: Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë juridike, tatimore, investuese, financiare ose këshillë tjetër.
Burimi: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability