Ekipi i Dedaub së fundmi zbuloi një dobësi në kontratat UniSwap që mund të kishte rrezikuar disa përdorues.
Dobësia UniSwap
Në një postim të fundit në Twitter, Dedaub zbuloi se ata zbuluan një gabim në kontratat UniSwap dhe i informuan ata për dobësinë. Kur u morën reagimet, "UniSwap adresoi problemin dhe rishpërndau kontratat inteligjente të Routerit Universal në të gjithë zinxhirët e tij".
Sipas Tweet nga Dedaub, kjo dobësi hapi rrugën për sulme të rihyrjes, të cilat do të shterrnin fondet e përdoruesve. Ekipi Dedaub shpjegoi se si një sulmues/a do ta përdorte këtë cenueshmëri.
Lindja e kësaj cenueshmërie buron në nëntor kur UniSwap prezantoi ruterin e tij Universal. Ky ruter unifikon shkëmbimin NFT dhe ERC-20 në një ruter të vetëm shkëmbimi. Qëllimi ishte të ndihmonte përdoruesit të kryenin veprime të shumta si shkëmbimi i shumëfishtë NFT-ve dhe shenjave në një transaksion.
Kur përdoren si duhet, komandat Universal Router do t'i dërgojnë shumën e specifikuar marrësit të specifikuar. Megjithatë, nëse një kod i palës së tretë thirret gjatë transferimit, ai mund të rifusë ruterin dhe të kërkojë shenja në kontratë. Kjo është kryesisht për shkak se Ruteri Universal mbante ekuilibra midis transaksioneve.
Në Proof-of-Concept, ekipi i Dedaub vuri në dukje se sulmuesi mund të shtonte një komandë SWEEP për të gjitha argumentet e mbetura pas dërgimit të shumave fillestare. Si pjesë e transaksionit, marrësi mund të kullojë shpejt të gjithë shumën.
Ekipi i Uniswap veproi shpejt
Ekipi i Dedaub informoi menjëherë ekipin UniSwap për mundësinë e një sulmi të tillë. Ata këshilluan ekipin e Uniswap që të vendoste një bllokues rihyrjeje në ruterin e tyre të ri përpara se të vendosej.
Uniswap e trajtoi çështjen në çast, duke bërë rregullimet e nevojshme përpara se të miratonte kontratën. Uniswap i dha Dedaub ekip një shpërblim prej 40 mijë dollarësh për të treguar përkushtimin e tyre ndaj sigurisë së individëve. Megjithatë, ekipi i Uniswap e vlerësoi problemin si një ngjarje me ndikim të lartë, por me gjasa të ulëta. Prandaj, kjo mund të ndodhë në skenarë shumë komplekse.
La Protokolli DEX UniSwap është përgjithësisht i njohur me sulmet me rihyrje. Në vitin 2020, dolën raporte se DEX, së bashku me Lendf.me, humbën 25 milionë dollarë në një sulm të thjeshtë rihyrjeje. Rrjeti ka pësuar edhe sulme të tjera si hakerimi. Në korrik 2022, hakerat kapën 8 milionë dollarë ETH duke përdorur një sulm phishing.
Burimi: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/