UniSwap Universal Router var sårbar för återinträdesattacker

Födelsen av denna sårbarhet kommer tillbaka till november då UniSwap introducerade sin Universal Router. Denna router förenar NFT- och ERC-20-växling till en enda växlingsrouter. Syftet var att hjälpa användare att utföra flera åtgärder som att byta flera NFT:er och tokens i en transaktion. 

När de används på rätt sätt kommer Universal Router-kommandona att skicka det angivna beloppet till den angivna mottagaren. Men om en tredjepartskod anropas under överföringen kan den gå in på routern igen och göra anspråk på tokens i kontraktet. Detta beror främst på att den universella routern höll saldon mellan transaktioner. 

I sitt Proof-of-Concept noterade Dedaub-teamet att angriparen kunde lägga till ett SWEEP-kommando för alla tokens som återstår efter att de första beloppen har skickats. Som en del av transaktionen kunde mottagaren snabbt tömma hela beloppet.

Uniswaps team agerade snabbt

Dedaubs team informerade omedelbart UniSwap-teamet om möjligheten av en sådan attack. De rådde Uniswaps team att bädda in ett återinträdeslås i sin nya router innan de distribueras. 

Uniswap hanterade problemet omedelbart och gjorde de nödvändiga justeringarna innan avtalet antogs. Uniswap belönades med Dedaub lägg ihop en 40 XNUMX buggpremie för att visa sitt engagemang för individers säkerhet. Emellertid bedömde Uniswap-teamet problemet som en händelse med stor inverkan men liten sannolikhet. Därför kan detta inträffa i mycket komplexa scenarier.

Smakämnen DEX-protokoll UniSwap är allmänt bekant med återinträdesattacker. År 2020 dök det upp rapporter om att DEX, tillsammans med Lendf.me, förlorade 25 miljoner dollar i en enkel återinträdesattack. Nätverket har också drabbats av andra attacker som hackning. I juli 2022 tog hackare in 8 miljoner dollar ETH använder en nätfiskeattack.

Följ oss på Google Nyheter