תוכנית הבאגים של Uniswap שהושקה לאחרונה הובילה לגילוי של פגיעות מתוקנת כעת של החוזה החכם Universal Router של הפרוטוקול.
עושה השוק האוטומטי שוחרר שני חוזים חכמים חדשים לפלטפורמה שלה בנובמבר 2022. Permit2 מאפשרת שיתוף וניהול של אישורי אסימונים על פני יישומים שונים, בעוד Universal Router מאחד ERC-20 ואסימונים לא ניתנים להחלפה (NFTs) לנתב החלפה יחיד.
Uniswap גם פרסמה תוכנית רווחית באגים לזיהוי נקודות תורפה פוטנציאליות בחוזים החכמים שלה לקראת סוף 2022, שכן היא נראתה להבטיח את הבטיחות והיעילות של הפרוטוקול שלה.
חברת האבטחה והביקורת של חוזים חכמים, Dedaub, הודיעה כי קיבלה פרס באג לאחר שסימנה פגיעות בחוזה החכם Universal Router שהייתה מאפשרת כניסה חוזרת כדי לרוקן את כספי המשתמשים באמצע העסקה.
צוות Dedaub חשף פגיעות קריטית לצוות Uniswap!
הכספים בטוחים - Uniswap טיפלה בבעיה ופרסה מחדש את החוזים החכמים של Universal Router בכל הרשתות שלה
הפגיעות מאפשרת כניסה חוזרת כדי לנקז את כספי המשתמש, באמצע טקס.
- Dedaub (@dedaub) ינואר 2, 2023
לפי הפירוט של Dedaub, הנתב האוניברסלי מאפשר למשתמשים לבצע פעולות מגוונות כולל החלפת מספר אסימונים ו-NFT בעסקה אחת.
הנתב מטמיע שפת סקריפטים למגוון רחב של פעולות אסימונים, שיכולות לכלול העברות לנמעני צד שלישי. אם יושמו כהלכה, העברות יעברו לנמען בתוך פרמטרים שצוינו.
מידע נוסף: אימונפי אומרת שהיא סיפקה 66 מיליון דולר בהטבות באגים מאז הקמתה
עם זאת, Dedaub זיהה נקודת תורפה שבה הופעל קוד של צד שלישי במהלך ההעברה, מה שמאפשר לקוד להיכנס מחדש לנתב האוניברסלי ולתבוע כל אסימונים שהיו זמנית בחוזה.
Dedaub הציע אז תרופה פשוטה, ויעץ לצוות Uniswap להוסיף מנעול כניסה חוזר לביצוע הליבה של הנתב החדש. Uniswap העניקה לחברת הביקורת סכום כולל של 40,000 דולר עבור סימון הפגיעות. הסכום כלל בונוס של 33% עבור דיווח על הנושא במהלך תקופת הבונוס של Uniswap בנובמבר 2022.
Uniswap סיווגה את הנושא כחומרה בינונית, בעוד שהערכה נוספת קבעה שלפגיעות יש השפעה גבוהה וסבירות נמוכה. לפי Dedaub, האפשרות של משתמש לשלוח NFTs לנמען לא מהימן ישירות נחשבה לשגיאת משתמש.
תרחישים מורכבים יותר ופחות סבירים נחשבו תקפים עבור כניסה חוזרת, מה שהביא לכך ש-Uniswap קבעה שהווקטור בעל סבירות נמוכה. קוינטלגרף פנה אל Uniswap כדי לברר פרטים נוספים על תוכנית הפרס המתמשכת שלה, הסכומים ששולמו ומספר הבאגים שזוהו עד כה.
פרסי באגים הפכו לדבר שבשגרה בתחום המטבעות הקריפטוגרפיים והבלוקצ'יין, כאשר פלטפורמות וחברות שואפות להבטיח את אבטחת התוכנה, המערכות והתשתית שלהן.
החלפת מטבעות קריפטו Coinbase לאחרונה הבהיר את תנאי פרס הבאג שלה, בעוד לחברת אבטחת הבלוקצ'יין Immunefi יש סייעו ליותר מ-65 מיליון דולר בשווי של פרסים באגים בין האקרים אתיים לחברות Web3 בשנת 2022.
מקור: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability