הצוות של Dedaub חשף לאחרונה פגיעות בחוזי UniSwap שעלולה הייתה לסכן חלק מהמשתמשים.
הפגיעות של UniSwap
בציוץ האחרון, Dedaub חשף כי הם גילו באג בחוזי UniSwap והודיעו להם על הפגיעות. כשהתקבל המשוב, "UniSwap טיפלה בבעיה ופרסה מחדש את החוזים החכמים של הנתב האוניברסלי בכל הרשתות שלה."
על פי ציוץ מאת Dedaub, פגיעות זו סללה את הדרך להתקפות כניסה חוזרת, שיגררו את כספי המשתמשים. צוות Dedaub הסביר כיצד תוקף/ים ישתמשו בפגיעות זו.
לידתה של פגיעות זו נובעת מנובמבר כאשר UniSwap הציגה את הנתב האוניברסלי שלה. נתב זה מאחד את ההחלפה של NFT ו-ERC-20 לנתב החלפה יחיד. המטרה הייתה לעזור למשתמשים לבצע מספר פעולות כמו החלפת מספר NFTs ואסימונים בעסקה אחת.
בשימוש נכון, פקודות הנתב האוניברסלי ישלחו את הסכום שצוין לנמען שצוין. עם זאת, אם קוד צד שלישי נקרא במהלך ההעברה, הוא יכול להזין מחדש את הנתב ולתבוע אסימונים בחוזה. זה בעיקר בגלל שהנתב האוניברסלי החזיק יתרות בין עסקאות.
בהוכחת הקונספט שלהם, צוות Dedaub ציין כי התוקף יכול להוסיף פקודת SWEEP עבור כל האסימונים שנותרו לאחר שליחת הסכומים הראשוניים. כחלק מהעסקה, הנמען יכול לנקז במהירות את כל הסכום.
הצוות של Uniswap פעל מהר
הצוות של Dedaub הודיע מיידית לצוות UniSwap על האפשרות של התקפה כזו. הם המליצו לצוות של Uniswap להטביע מנעול כניסה חוזר בנתב החדש שלהם לפני הפריסה.
Uniswap טיפלה בבעיה באופן מיידי, תוך ביצוע ההתאמות הנדרשות לפני אימוץ החוזה. Uniswap העניק את ה-Dedaub צוות פרס של 40 אלף דולר באגים כדי להראות את מחויבותם לביטחון של אנשים. עם זאת, צוות Uniswap העריך את הבעיה כאירוע בעל השפעה גבוהה אך בסבירות נמוכה. לפיכך, זה יכול להתרחש בתרחישים מורכבים מאוד.
אל האני פרוטוקול DEX UniSwap מכיר באופן כללי את התקפות כניסה חוזרת. בשנת 2020, הופיעו דיווחים שה-DEX, יחד עם Lendf.me, הפסידו 25 מיליון דולר בהתקפת כניסה חוזרת פשוטה. הרשת סבלה גם מהתקפות אחרות כמו פריצה. ביולי 2022, האקרים תפסו 8 מיליון דולר ETH באמצעות התקפת פישינג.
מקור: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/