UniSwap Universal Router มีความเสี่ยงที่จะถูกโจมตีซ้ำ

การเกิดช่องโหว่นี้เกิดขึ้นเมื่อเดือนพฤศจิกายน UniSwap เปิดตัว Universal Router. เราเตอร์นี้รวมการสลับ NFT และ ERC-20 เข้ากับเราเตอร์การสลับเดียว จุดมุ่งหมายคือการช่วยให้ผู้ใช้ดำเนินการหลายอย่าง เช่น การแลกเปลี่ยน NFT และโทเค็นหลายรายการในธุรกรรมเดียว 

เมื่อใช้อย่างถูกต้อง คำสั่ง Universal Router จะส่งจำนวนที่ระบุไปยังผู้รับที่ระบุ อย่างไรก็ตาม หากมีการเรียกรหัสของบุคคลที่สามระหว่างการถ่ายโอน ก็สามารถป้อนเราเตอร์อีกครั้งและรับโทเค็นในสัญญาได้ สาเหตุหลักเป็นเพราะ Universal Router มียอดคงเหลือระหว่างการทำธุรกรรม 

ในการพิสูจน์แนวคิด ทีม Dedaub สังเกตว่าผู้โจมตีสามารถเพิ่มคำสั่ง SWEEP สำหรับโทเค็นทั้งหมดที่เหลืออยู่หลังจากส่งจำนวนเงินเริ่มต้น ส่วนหนึ่งของการทำธุรกรรม ผู้รับสามารถระบายจำนวนเงินทั้งหมดได้อย่างรวดเร็ว

ทีมของ Uniswap ดำเนินการอย่างรวดเร็ว

ทีมของ Dedaub แจ้งให้ทีม UniSwap ทราบทันทีถึงความเป็นไปได้ของการโจมตีดังกล่าว พวกเขาแนะนำให้ทีมของ Uniswap ฝังการล็อกการกลับเข้าใช้ใหม่ไว้ในเราเตอร์ใหม่ก่อนที่จะปรับใช้ 

Uniswap จัดการกับปัญหาทันที ทำการปรับเปลี่ยนที่จำเป็นก่อนที่จะยอมรับสัญญา Uniswap ได้รับรางวัล Dedaub ร่วมทีมกับเงินรางวัลบั๊กมูลค่า 40 ดอลลาร์เพื่อแสดงความมุ่งมั่นต่อความปลอดภัยของบุคคล อย่างไรก็ตาม ทีม Uniswap ประเมินปัญหาว่าเป็นเหตุการณ์ที่มีผลกระทบสูงแต่มีความเป็นไปได้ต่ำ ดังนั้นสิ่งนี้อาจเกิดขึ้นได้ในสถานการณ์ที่ซับซ้อนมาก

พื้นที่ โปรโตคอล DEX UniSwap โดยทั่วไปคุ้นเคยกับการโจมตีแบบกลับเข้ามาใหม่ ในปี 2020 มีรายงานออกมาว่า DEX ร่วมกับ Lendf.me สูญเสียเงิน 25 ล้านดอลลาร์จากการโจมตีแบบย้อนกลับง่ายๆ เครือข่ายยังประสบกับการโจมตีอื่น ๆ เช่นการแฮ็ค ในเดือนกรกฎาคม 2022 แฮ็กเกอร์ได้เงิน 8 ล้านดอลลาร์ใน ETH โดยใช้การโจมตีแบบฟิชชิ่ง

ติดตามเราบน Google News