Uniswaps nyligen implementerade bug-bounty-program har varit en stor framgång, eftersom det hjälpte till att avslöja och sedan lösa en befintlig sårbarhet i dess Universal Router-smarta kontrakt.
De två nya smarta kontrakten, Permit2 och Universal Router, släpptes redan i november 2022. Genom delning och hantering av tokengodkännanden ger Permit2 smarta kontrakt applikationer tillgång till en rad säkra auktoriseringsfunktioner. Å andra sidan kompilerar Universal Router ERC-20- och NFT-transaktioner till en enda swap-router, vilket ger Uniswap en mer effektiv metod för att växla mellan olika typer av kryptovalutor.
Med introduktionen av dessa nya smarta kontrakt tillkännagav Uniswap också ett bugg-bounty-program som skulle hjälpa plattformen att upptäcka eventuella sårbarheter. När den digitala valutan och blockchain-marknaden fortsätter att utvecklas, har buggbonusar blivit ett sätt för företag att säkerställa att deras mjukvara, system och kritiska infrastruktur är säkra.
DeFis säkerhetsrevisionsfirma Dedaub var bland de första att få en rejäl utmärkelse för sitt arbete med att identifiera en sårbarhet i det smarta kontraktet Universal Router. Sårbarheten flaggades för att ha förmågan att tillåta återinträde under en transaktions bekräftelsetid, vilket kunde utnyttjas av hotaktörer för att sedan tömma pengar på en plånbok.
Dedaub-teamet har avslöjat en kritisk sårbarhet för Uniswap-teamet!
Medlen är säkra – Uniswap åtgärdade problemet och omplacerade Universal Routers smarta kontrakt på alla dess kedjor 👏
Sårbarheten tillåter återinträde för att tömma användarens pengar, mid-tx.
— Dedaub (@dedaub) Januari 2, 2023
Dedaub förklarar att den universella routern ger användare möjlighet att göra många transaktioner på en gång, som att byta ut flera tokens och NFT:er på en gång. Routerns integrerade skriptspråk kan utföra ett stort antal tokenaktiviteter inklusive överföringar till externa betalningsmottagare. När det gjorts korrekt steg för steg, skulle dessa medel levereras direkt om transaktionen skulle uppfylla kriterierna som fastställts av parametrarna för det smarta kontraktet.
Designmässigt betyder detta att en tredjedelskod, när den anropas under överföringen, kan tillåta att koden kommer in på den universella routern igen och hantera eller dra tokens som finns på det smarta kontraktet under en tillfällig period. Detta fick Dedaub whitehats att informera Uniswap om en lösning, som innebar att det smarta kontraktet skulle patchas med ett återinträdeslås för kärnexekveringsmodulen i Universal Router.
Uniswap tilldelade sedan snabbt $40,000 XNUMX till Dedaub-teamet för deras snabba avslöjande. Enligt Uniswap var frågan av medelgradig svårighetsgrad, medan ytterligare bedömning av sårbarheten pekade på ett scenario med låg chans och stor inverkan. Dedaub bekräftar att attackvektorn kan betraktas som ett användarslutfel, eftersom scenariot bara skulle inträffa om en användare direkt skickar NFT:er till en opålitlig mottagare.
Ansvarsfriskrivning: Den här artikeln tillhandahålls endast i informationssyfte. Det erbjuds eller är inte avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.
Källa: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability