โปรแกรม Bug Bounty ที่เพิ่งเปิดตัวของ Uniswap ได้นำไปสู่การค้นพบช่องโหว่ที่แก้ไขแล้วในขณะนี้ของสัญญาอัจฉริยะ Universal Router ของโปรโตคอล
ผู้ดูแลสภาพคล่องอัตโนมัติ การเผยแพร่ สัญญาอัจฉริยะใหม่ 2022 ฉบับสำหรับแพลตฟอร์มในเดือนพฤศจิกายน 2 Permit20 อนุญาตให้แชร์และจัดการการอนุมัติโทเค็นผ่านแอปพลิเคชันต่างๆ ในขณะที่ Universal Router รวมการแลกเปลี่ยน ERC-XNUMX และโทเค็นที่ไม่สามารถทำงานร่วมกันได้ (NFTs) ไว้ในเราเตอร์ swap เดียว
Uniswap ยังโฆษณาโปรแกรม Bug Bounty ที่ให้ผลกำไรสูงเพื่อระบุช่องโหว่ที่อาจเกิดขึ้นในสัญญาอัจฉริยะจนถึงสิ้นปี 2022 เนื่องจากดูเหมือนจะรับประกันความปลอดภัยและประสิทธิภาพของโปรโตคอล
บริษัทตรวจสอบและรักษาความปลอดภัยสัญญาอัจฉริยะ Dedaub ประกาศว่าบริษัทได้รับข้อผิดพลาดหลังจากติดธงช่องโหว่ในสัญญาอัจฉริยะของ Universal Router ซึ่งอาจทำให้ผู้ใช้กลับเข้ามาใหม่เพื่อระบายเงินของผู้ใช้ระหว่างการทำธุรกรรม
ทีม Dedaub ได้เปิดเผยช่องโหว่ร้ายแรงแก่ทีม Uniswap!
เงินทุนมีความปลอดภัย – Uniswap แก้ไขปัญหาและปรับใช้สัญญาอัจฉริยะของ Universal Router อีกครั้งในเครือข่ายทั้งหมด
ช่องโหว่นี้อนุญาตให้กลับเข้ามาใหม่เพื่อระบายเงินของผู้ใช้ กลางเดือน tx
— เดดับ (@dedaub) January 2, 2023
ตามรายละเอียดของ Dedaub Universal Router ช่วยให้ผู้ใช้สามารถดำเนินการต่างๆ รวมถึงการสลับโทเค็นและ NFT หลายรายการในธุรกรรมเดียว
เราเตอร์ฝังภาษาสคริปต์สำหรับการดำเนินการโทเค็นที่หลากหลาย ซึ่งอาจรวมถึงการถ่ายโอนไปยังผู้รับที่เป็นบุคคลที่สาม หากดำเนินการอย่างถูกต้อง การโอนจะส่งไปยังผู้รับภายในพารามิเตอร์ที่กำหนด
ที่เกี่ยวข้อง Immunefi กล่าวว่าได้อำนวยความสะดวก $ 66M ในด้านข้อผิดพลาดตั้งแต่เริ่มก่อตั้ง
อย่างไรก็ตาม Dedaub ตรวจพบช่องโหว่ที่รหัสของบุคคลที่สามถูกเรียกใช้ระหว่างการถ่ายโอน ทำให้รหัสสามารถกลับเข้าสู่ Universal Router และอ้างสิทธิ์ในโทเค็นใดๆ ที่อยู่ในสัญญาชั่วคราว
จากนั้น Dedaub ก็แนะนำวิธีแก้ไขอย่างตรงไปตรงมา โดยแนะนำทีม Uniswap ให้เพิ่มการล็อกการกลับเข้าใช้ใหม่ให้กับการดำเนินการหลักของเราเตอร์ใหม่ Uniswap ให้รางวัลแก่บริษัทตรวจสอบบัญชีเป็นจำนวนเงิน 40,000 ดอลลาร์สำหรับการตั้งค่าสถานะช่องโหว่ จำนวนเงินดังกล่าวรวมโบนัส 33% สำหรับการรายงานปัญหาในช่วงระยะเวลาโบนัสของ Uniswap ในเดือนพฤศจิกายน 2022
Uniswap จำแนกปัญหาเป็นความรุนแรงปานกลาง ในขณะที่การประเมินเพิ่มเติมถือว่าช่องโหว่มีผลกระทบสูงและมีความเป็นไปได้ต่ำ จากข้อมูลของ Dedaub ความเป็นไปได้ที่ผู้ใช้จะส่ง NFT ไปยังผู้รับที่ไม่น่าเชื่อถือโดยตรงถือเป็นข้อผิดพลาดของผู้ใช้
สถานการณ์ที่ซับซ้อนมากขึ้นและมีความเป็นไปได้น้อยกว่าได้รับการพิจารณาว่าถูกต้องสำหรับการกลับเข้ามาใหม่ ซึ่งส่งผลให้ Uniswap ถือว่าเวกเตอร์นั้นมีโอกาสเป็นไปได้ต่ำ Cointelegraph ได้ติดต่อกับ Uniswap เพื่อยืนยันรายละเอียดเพิ่มเติมเกี่ยวกับโปรแกรมรางวัลที่กำลังดำเนินอยู่ จำนวนเงินที่จ่ายออกไป และจำนวนข้อบกพร่องที่ระบุจนถึงปัจจุบัน
ช่องโหว่ของบั๊กกลายเป็นเรื่องธรรมดาในพื้นที่สกุลเงินดิจิทัลและบล็อกเชน เนื่องจากแพลตฟอร์มและบริษัทต่าง ๆ มองหาความปลอดภัยของซอฟต์แวร์ ระบบ และโครงสร้างพื้นฐานของตน
การแลกเปลี่ยน Cryptocurrency Coinbase เมื่อเร็ว ๆ นี้ ชี้แจงเงื่อนไขของรางวัลบั๊กในขณะที่บริษัทรักษาความปลอดภัยบล็อกเชน Immunefi มี อำนวยความสะดวกกว่า 65 ล้านเหรียญสหรัฐ มูลค่าของค่าบั๊กระหว่างแฮ็กเกอร์ที่มีจริยธรรมและบริษัท Web3 ในปี 2022
ที่มา: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability