یک شرکت امنیتی یک آسیبپذیری را در Uniswap مشخص کرده است که احتمال حمله مجدد به قرارداد هوشمند روتر جهانی پروتکل را برجسته میکند.
برنامه پاداش باگ Uniswap که اخیراً راه اندازی شده است منجر به کشف یک آسیب پذیری در قرارداد هوشمند روتر جهانی پروتکل شد.
این بازارساز خودکار دو قرارداد هوشمند جدید را در نوامبر 2022 برای پلتفرم خود منتشر کرد. Permit2 اجازه می دهد تا تاییدیه های توکن در برنامه های مختلف به اشتراک گذاشته شود و مدیریت شود، در حالی که روتر جهانی ERC-20 و توکن های غیرقابل تجارت (NFT) را در یک روتر swap ترکیب می کند.
Uniswap همچنین یک برنامه پاداش باگ سودآور را برای شناسایی آسیبپذیریهای احتمالی در قراردادهای هوشمند خود در پایان سال 2022 و در عین حال تضمین امنیت و اثربخشی پروتکل خود تبلیغ کرد.
شرکت حسابرسی و امنیت قراردادهای هوشمند Dedaub اعلام کرد که پس از علامت گذاری یک آسیب پذیری در قرارداد هوشمند روتر جهانی که به ورود مجدد اجازه می دهد وجوه کاربر را در میانه تراکنش مصرف کند، جایزه باگ دریافت کرده است.
تیم Dedaub یک آسیب پذیری بحرانی را برای تیم Uniswap فاش کرد!
وجوه امن – Uniswap به این مشکل رسیدگی کرده و قراردادهای هوشمند روتر جهانی را در تمام زنجیرههای خود به کار گرفته است.
این آسیبپذیری اجازه ورود مجدد به کاربر را میدهد تا وجوه کاربر را در اواسط TX تخلیه کند.
– دداب (@dedaub) 2 ژانویه 2023
با توجه به Dump Dedaub، روتر جهانی به کاربران اجازه می دهد تا اقدامات مختلفی را انجام دهند، از جمله تغییر چندین توکن و NFT در یک تراکنش.
روتر یک زبان برنامه نویسی را برای طیف گسترده ای از اقدامات نشانه تعبیه می کند، که ممکن است شامل انتقال به گیرندگان شخص ثالث باشد. اگر به درستی اجرا شود، انتقال ها در پارامترهای مشخص شده به گیرنده می روند.
مطالب مرتبط: Immunefi می گوید که از زمان آغاز به کار 66 میلیون دلار پاداش باگ را تسهیل کرده است
با این حال، Dedaub آسیبپذیری را شناسایی کرد که در آن یک کد شخص ثالث در حین انتقال فراخوانی میشد و به کد اجازه میداد دوباره وارد روتر جهانی شود و هرگونه توکنی را که به طور موقت در قرارداد وجود دارد درخواست کند.
بعداً، Dedaub مستقیماً با توصیه به تیم Uniswap برای اضافه کردن یک قفل ورود مجدد به پیادهسازی هسته روتر جدید، راهحلی را پیشنهاد کرد. Uniswap مجموعاً 40000 دلار به شرکت حسابرسی برای نشان دادن این آسیب پذیری اعطا کرد. این مبلغ شامل پاداش 33 درصدی برای گزارش مشکل در دوره جایزه Uniswap در نوامبر 2022 است.
Uniswap این مشکل را به عنوان شدت متوسط طبقه بندی کرد، در حالی که ارزیابی های بیشتر آسیب پذیری را به عنوان تأثیر زیاد و احتمال کم تشخیص دادند. به گفته Dedaub، امکان ارسال مستقیم NFT توسط کاربر به یک گیرنده غیرقابل اعتماد، خطای کاربر در نظر گرفته شد.
سناریوهای پیچیده تر و کمتر محتمل برای ورود مجدد معتبر در نظر گرفته شدند، که باعث شد Uniswap بردار را با احتمال کم در نظر بگیرد.
از آنجایی که پلتفرمها و شرکتها تلاش میکنند نرمافزار، سیستمها و زیرساختهای خود را ایمن کنند، پاداشهای باگ در فضای ارزهای دیجیتال و بلاک چین رایج شده است.
صرافی ارزهای دیجیتال کوین بیس اخیراً شرایط پاداش باگ را روشن کرده است، در حالی که شرکت امنیتی بلاک چین Immunefi بیش از 65 میلیون دلار پاداش باگ را در بین هکرهای اخلاقی و شرکتهای Web3 در سال 2022 تضمین کرد.
نویسنده: Gareth Jenkinson
ارسال پاسخ