Uniswaps nyligen lanserade bug-bounty-program har lett till upptäckten av en nu åtgärdad sårbarhet i protokollets smarta kontrakt för Universal Router.
Den automatiserade market maker frigörs två nya smarta kontrakt till sin plattform i november 2022. Permit2 tillåter att token-godkännanden delas och hanteras över olika applikationer, medan Universal Router förenar ERC-20 och nonfungible tokens (NFT) som byter till en enda swap-router.
Uniswap annonserade också ett lukrativt bugg-bounty-program för att identifiera potentiella sårbarheter i sina smarta kontrakt mot slutet av 2022, eftersom det såg ut att garantera säkerheten och effektiviteten av dess protokoll.
Säkerhets- och revisionsföretaget Dedaub för smart kontrakt meddelade att det hade fått en buggpremie efter att ha flaggat en sårbarhet i det smarta avtalet för Universal Router som skulle ha tillåtit återinträde för att tömma användarmedel mitt i transaktionen.
Dedaub-teamet har avslöjat en kritisk sårbarhet för Uniswap-teamet!
Medlen är säkra – Uniswap åtgärdade problemet och omplacerade Universal Routers smarta kontrakt på alla dess kedjor
Sårbarheten tillåter återinträde för att tömma användarens pengar, mid-tx.
— Dedaub (@dedaub) Januari 2, 2023
Enligt Dedaubs uppdelning tillåter Universal Router användare att utföra olika åtgärder, inklusive att byta flera tokens och NFTs i en transaktion.
Routern bäddar in ett skriptspråk för en mängd olika token-åtgärder, vilket kan inkludera överföringar till tredje parts mottagare. Om de är korrekt implementerade skulle överföringar gå till mottagaren inom angivna parametrar.
Relaterat: Immunefi säger att det har underlättat $66 miljoner i buggpremier sedan starten
Dedaub identifierade dock en sårbarhet där en tredjepartskod anropades under överföringen, vilket gjorde att koden kunde komma in på den universella routern igen och göra anspråk på eventuella tokens som tillfälligt fanns i kontraktet.
Dedaub föreslog sedan en enkel lösning och rådde Uniswap-teamet att lägga till ett återinträdeslås till den nya routerns kärna. Uniswap tilldelade revisionsbyrån totalt 40,000 33 USD för att ha flaggat sårbarheten. Beloppet inkluderade en bonus på 2022 % för att rapportera emissionen under Uniswaps bonusperiod i november XNUMX.
Uniswap klassificerade problemet som medelsvår, medan ytterligare bedömning ansåg att sårbarheten hade en hög effekt och låg sannolikhet. Enligt Dedaub ansågs möjligheten för en användare att skicka NFT:er till en opålitlig mottagare direkt som ett användarfel.
Mer komplexa och mindre sannolika scenarier ansågs vara giltiga för återinträde, vilket resulterade i att Uniswap ansåg att vektorn hade en låg sannolikhet. Cointelegraph har kontaktat Uniswap för att få ytterligare information om dess pågående bounty-program, belopp som betalats ut och antalet fel som identifierats hittills.
Bug-bounties har blivit vanliga i kryptovaluta- och blockkedjeområdet eftersom plattformar och företag försöker säkerställa säkerheten för sin mjukvara, system och infrastruktur.
Kryptovaluta utbyte Coinbase nyligen förtydligade villkoren för dess buggpremie, medan blockchain-säkerhetsföretaget Immunefi har underlättade över 65 miljoner dollar värda buggpremier mellan etiska hackare och Web3-företag 2022.
Källa: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability