Uniswap 新實施的漏洞賞金計劃取得了巨大的成功,因為它幫助發現並隨後解決了其 Universal Router 智能合約中的現有漏洞。
這兩個新的智能合約 Permit2 和 Universal Router 於 2022 年 2 月發布。通過令牌批准共享和管理,Permit20 智能合約授予應用程序訪問一系列安全授權功能的權限。 另一方面,Universal Router 將 ERC-XNUMX 和 NFT 交易編譯到單個交換路由器中,為 Uniswap 提供了一種更有效的方法來在各種類型的加密貨幣之間進行交換。
隨著這些新智能合約的推出,Uniswap 還宣布了一項漏洞賞金計劃,該計劃將幫助平台檢測任何潛在漏洞。 隨著數字貨幣和區塊鏈市場的不斷發展,漏洞賞金已成為公司確保其軟件、系統和關鍵基礎設施安全的一種方式。
DeFi 安全審計公司 Dedaub 是首批因其在識別 Universal Router 智能合約漏洞方面所做的工作而獲得巨額獎勵的公司之一。 該漏洞被標記為能夠在交易確認時間內允許重新進入,威脅行為者可能會利用這一點來耗盡錢包的資金。
Dedaub 團隊向 Uniswap 團隊披露了一個嚴重漏洞!
資金是安全的——Uniswap 解決了這個問題並在其所有鏈上重新部署了 Universal Router 智能合約👏
該漏洞允許重新進入以耗盡用戶的資金,mid-tx。
— 德道布 (@dedaub) 2023 年 1 月 2 日
Dedaub 解釋說,通用路由器為用戶提供了一次進行大量交易的機會,例如一次交換多個代幣和 NFT。 路由器的集成腳本語言能夠進行大量的代幣活動,包括向外部收款人的轉賬。 如果一步一步正確完成,如果交易符合智能合約參數設定的標準,這些資金將立即交付。
按照設計,這意味著第三方代碼在傳輸過程中被調用時,可以允許代碼重新進入通用路由器並在臨時期間管理或提取智能合約上的代幣。 這促使 Dedaub 白帽組織向 Uniswap 提出了一項解決方案,該解決方案涉及使用通用路由器核心執行模塊的可重入鎖修補智能合約。
Uniswap 隨後迅速向 Dedaub 團隊獎勵了 40,000 美元,以表彰他們的及時披露。 根據 Uniswap 的說法,該問題的嚴重程度為中等,而對該漏洞的進一步評估表明這是一種低概率、高影響的情況。 Dedaub 確認攻擊媒介可以被視為用戶端錯誤,因為只有當用戶直接將 NFT 發送給不受信任的收件人時才會發生這種情況。
免責聲明:本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability