Недавно запущенная программа Uniswap по поиску ошибок привела к обнаружению уже исправленной уязвимости смарт-контракта универсального маршрутизатора протокола.
Автоматизированный маркет-мейкер выпустил два новых смарт-контракта на свою платформу в ноябре 2022 года. Permit2 позволяет совместно использовать утверждения токенов и управлять ими между различными приложениями, в то время как Universal Router объединяет ERC-20 и невзаимозаменяемые токены (NFT), обмениваемые в одном маршрутизаторе подкачки.
Uniswap также рекламировала выгодную программу вознаграждения за обнаружение ошибок для выявления потенциальных уязвимостей в своих смарт-контрактах к концу 2022 года, поскольку она стремилась обеспечить безопасность и эффективность своего протокола.
Фирма Dedaub, занимающаяся безопасностью и аудитом смарт-контрактов, объявила, что получила вознаграждение за обнаружение ошибки после того, как обнаружила уязвимость в смарт-контракте Universal Router, которая позволяла бы повторно входить в систему, чтобы истощать средства пользователей в середине транзакции.
Команда Dedaub сообщила команде Uniswap о критической уязвимости!
Средства в безопасности — Uniswap решила проблему и повторно развернула смарт-контракты Universal Router во всех своих цепочках.
Уязвимость позволяет повторно войти в систему, чтобы слить средства пользователя в середине транзакций.
— Дедауб (@dedaub) 2 января 2023
Согласно анализу Dedaub, универсальный маршрутизатор позволяет пользователям выполнять различные действия, включая обмен несколькими токенами и NFT за одну транзакцию.
В маршрутизатор встроен язык сценариев для широкого спектра действий с токенами, которые могут включать передачу сторонним получателям. При правильной реализации переводы будут доходить до получателя в рамках заданных параметров.
Тем не менее, Dedaub обнаружил уязвимость, из-за которой во время передачи вызывался сторонний код, что позволяло коду повторно войти в универсальный маршрутизатор и потребовать любые токены, которые временно были в контракте.
Затем Дедауб предложил простое решение, посоветовав команде Uniswap добавить блокировку повторного входа в ядро нового маршрутизатора. Uniswap наградил аудиторскую фирму в общей сложности 40,000 33 долларов за обнаружение уязвимости. Сумма включала бонус в размере 2022% за сообщение о проблеме в течение бонусного периода Uniswap в ноябре XNUMX года.
Uniswap классифицировал проблему как среднюю серьезность, в то время как дальнейшая оценка показала, что уязвимость имеет большое влияние и низкую вероятность. По словам Дедауба, возможность отправки пользователем NFT ненадежному получателю напрямую считалась ошибкой пользователя.
Более сложные и менее вероятные сценарии считались допустимыми для повторного входа, в результате чего Uniswap сочла вектор маловероятным. Коинтелеграф обратился к Uniswap, чтобы уточнить подробности о его текущей программе вознаграждений, выплаченных суммах и количестве ошибок, выявленных на сегодняшний день.
Награды за обнаружение ошибок стали обычным явлением в сфере криптовалют и блокчейнов, поскольку платформы и компании стремятся обеспечить безопасность своего программного обеспечения, систем и инфраструктуры.
Криптовалютная биржа Coinbase недавно уточнил условия вознаграждения за обнаружение ошибок, в то время как фирма Immunefi, занимающаяся безопасностью блокчейнов, более 65 миллионов долларов сумма вознаграждений за ошибки между этическими хакерами и фирмами Web3 в 2022 году.
Источник: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability.