תוכנית הבאגים החדשה של Uniswap שבוצעה לאחרונה זכתה להצלחה מסחררת, שכן היא סייעה לחשוף ולפתור פגיעות קיימת בחוזה החכם Universal Router שלה.
שני החוזים החכמים החדשים, Permit2 ו-Universal Router, שוחררו עוד בנובמבר 2022. באמצעות שיתוף וניהול של אישורים אסימונים, החוזה החכם Permit2 מעניק ליישומים גישה למערך של יכולות הרשאה מאובטחות. מצד שני, Universal Router מרכיב עסקאות ERC-20 ו-NFT לנתב החלפה בודד, מה שנותן ל-Uniswap שיטה יעילה יותר להחלפה בין סוגים שונים של מטבעות קריפטוגרפיים.
עם הצגת החוזים החכמים החדשים הללו, Uniswap הכריזה גם על תוכנית באגים שתעזור לפלטפורמה לזהות כל פגיעות אפשרית. ככל ששוק המטבעות הדיגיטליים והבלוקצ'יין ממשיך להתפתח, פרסי באגים הפכו לדרך של חברות להבטיח שהתוכנה, המערכות והתשתית הקריטיות שלהן מאובטחות.
חברת ביקורת האבטחה DeFi Dedaub הייתה בין הראשונות שקיבלו פרס נכבד על עבודתם בזיהוי פגיעות בחוזה החכם Universal Router. הפגיעות סומנה כבעלת יכולת לאפשר כניסה חוזרת בזמן אישור העסקה, דבר שיכול להיות מנוצל על ידי גורמי איום כדי לרוקן את הכספים של הארנק.
צוות Dedaub חשף פגיעות קריטית לצוות Uniswap!
הכספים בטוחים - Uniswap טיפלה בבעיה ופרסה מחדש את החוזים החכמים Universal Router בכל הרשתות שלה 👏
הפגיעות מאפשרת כניסה חוזרת כדי לנקז את כספי המשתמש, באמצע טקס.
- Dedaub (@dedaub) ינואר 2, 2023
Dedaub מסביר שהנתב האוניברסלי מספק למשתמשים הזדמנות לבצע עסקאות רבות בו-זמנית, כמו החלפת מספר אסימונים ו-NFTs במכה אחת. שפת הסקריפט המשולבת של הנתב מסוגלת לבצע מגוון עצום של פעילויות אסימונים כולל העברות למקבלי תשלום חיצוניים. כאשר נעשה בצורה נכונה צעד אחר צעד, הכספים הללו יימסרו מיד אם העסקה תעמוד בקריטריונים שנקבעו על ידי הפרמטרים של החוזה החכם.
לפי התכנון, המשמעות היא שקוד חלק שלישי, כאשר יופעל במהלך ההעברה, יכול לאפשר לקוד להיכנס מחדש לנתב האוניברסלי ולנהל או למשוך אסימונים שנמצאים בחוזה החכם לתקופה זמנית. זה גרם ל-Dedaub הלבנים לייעץ ל-Uniswap על החלטה, שכללה תיקון החוזה החכם עם נעילת כניסה חוזרת למודול ביצוע הליבה של Universal Router.
לאחר מכן, Uniswap העניקה במהירות $40,000 לצוות Dedaub על חשיפתם המהירה. לפי Uniswap, הנושא היה בדרגת חומרה בינונית, בעוד שהערכה נוספת של הפגיעות הצביעה על תרחיש בעל סיכוי נמוך ורב השפעה. Dedaub מאשר כי וקטור ההתקפה יכול להיחשב כשגיאת קצה משתמש, מכיוון שהתרחיש יתרחש רק אם משתמש ישלח ישירות NFTs לנמען לא מהימן.
הצהרת אחריות: מאמר זה ניתן למטרות מידע בלבד. הוא אינו מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
מקור: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability