یک شرکت امنیتی یک آسیب‌پذیری را در Uniswap مشخص کرده است که احتمال حمله مجدد به قرارداد هوشمند روتر جهانی پروتکل را برجسته می‌کند.

برنامه پاداش باگ Uniswap که اخیراً راه اندازی شده است منجر به کشف یک آسیب پذیری در قرارداد هوشمند روتر جهانی پروتکل شد.

این بازارساز خودکار دو قرارداد هوشمند جدید را در نوامبر 2022 برای پلتفرم خود منتشر کرد. Permit2 اجازه می دهد تا تاییدیه های توکن در برنامه های مختلف به اشتراک گذاشته شود و مدیریت شود، در حالی که روتر جهانی ERC-20 و توکن های غیرقابل تجارت (NFT) را در یک روتر swap ترکیب می کند.

Uniswap همچنین یک برنامه پاداش باگ سودآور را برای شناسایی آسیب‌پذیری‌های احتمالی در قراردادهای هوشمند خود در پایان سال 2022 و در عین حال تضمین امنیت و اثربخشی پروتکل خود تبلیغ کرد.

شرکت حسابرسی و امنیت قراردادهای هوشمند Dedaub اعلام کرد که پس از علامت گذاری یک آسیب پذیری در قرارداد هوشمند روتر جهانی که به ورود مجدد اجازه می دهد وجوه کاربر را در میانه تراکنش مصرف کند، جایزه باگ دریافت کرده است.

تیم Dedaub یک آسیب پذیری بحرانی را برای تیم Uniswap فاش کرد!

وجوه امن – Uniswap به این مشکل رسیدگی کرده و قراردادهای هوشمند روتر جهانی را در تمام زنجیره‌های خود به کار گرفته است.

این آسیب‌پذیری اجازه ورود مجدد به کاربر را می‌دهد تا وجوه کاربر را در اواسط TX تخلیه کند.

pic.twitter.com/wFSFsohPvy

– دداب (@dedaub) 2 ژانویه 2023

با توجه به Dump Dedaub، روتر جهانی به کاربران اجازه می دهد تا اقدامات مختلفی را انجام دهند، از جمله تغییر چندین توکن و NFT در یک تراکنش.

روتر یک زبان برنامه نویسی را برای طیف گسترده ای از اقدامات نشانه تعبیه می کند، که ممکن است شامل انتقال به گیرندگان شخص ثالث باشد. اگر به درستی اجرا شود، انتقال ها در پارامترهای مشخص شده به گیرنده می روند.

مطالب مرتبط: Immunefi می گوید که از زمان آغاز به کار 66 میلیون دلار پاداش باگ را تسهیل کرده است

با این حال، Dedaub آسیب‌پذیری را شناسایی کرد که در آن یک کد شخص ثالث در حین انتقال فراخوانی می‌شد و به کد اجازه می‌داد دوباره وارد روتر جهانی شود و هرگونه توکنی را که به طور موقت در قرارداد وجود دارد درخواست کند.

بعداً، Dedaub مستقیماً با توصیه به تیم Uniswap برای اضافه کردن یک قفل ورود مجدد به پیاده‌سازی هسته روتر جدید، راه‌حلی را پیشنهاد کرد. Uniswap مجموعاً 40000 دلار به شرکت حسابرسی برای نشان دادن این آسیب پذیری اعطا کرد. این مبلغ شامل پاداش 33 درصدی برای گزارش مشکل در دوره جایزه Uniswap در نوامبر 2022 است.

Uniswap این مشکل را به عنوان شدت متوسط ​​طبقه بندی کرد، در حالی که ارزیابی های بیشتر آسیب پذیری را به عنوان تأثیر زیاد و احتمال کم تشخیص دادند. به گفته Dedaub، امکان ارسال مستقیم NFT توسط کاربر به یک گیرنده غیرقابل اعتماد، خطای کاربر در نظر گرفته شد.

سناریوهای پیچیده تر و کمتر محتمل برای ورود مجدد معتبر در نظر گرفته شدند، که باعث شد Uniswap بردار را با احتمال کم در نظر بگیرد.

از آنجایی که پلتفرم‌ها و شرکت‌ها تلاش می‌کنند نرم‌افزار، سیستم‌ها و زیرساخت‌های خود را ایمن کنند، پاداش‌های باگ در فضای ارزهای دیجیتال و بلاک چین رایج شده است.

صرافی ارزهای دیجیتال کوین بیس اخیراً شرایط پاداش باگ را روشن کرده است، در حالی که شرکت امنیتی بلاک چین Immunefi بیش از 65 میلیون دلار پاداش باگ را در بین هکرهای اخلاقی و شرکت‌های Web3 در سال 2022 تضمین کرد.

نویسنده: Gareth Jenkinson