Технология

Универсальный маршрутизатор UniSwap был уязвим для атак с повторным входом

01/04/2023
Биткойн Эфириум Новости

Команда Дедауба недавно обнаружила уязвимость в контрактах UniSwap, которая могла подвергнуть опасности некоторых пользователей.

Уязвимость UniSwap

В недавнем твите Dedaub сообщил, что они обнаружили ошибку в контрактах UniSwap и сообщили им об уязвимости. Когда был получен отзыв, «UniSwap устранил проблему и повторно развернул смарт-контракты универсального маршрутизатора во всех своих цепочках».

Фото товара

Согласно Твит от Дедауба, эта уязвимость проложила путь для атак с повторным входом, которые истощали бы средства пользователей. Команда Dedaub объяснила, как злоумышленники могут использовать эту уязвимость.

Рождение этой уязвимости восходит к ноябрю, когда UniSwap представила универсальный маршрутизатор. Этот маршрутизатор объединяет обмен NFT и ERC-20 на один маршрутизатор обмена. Цель состояла в том, чтобы помочь пользователям выполнять несколько действий, таких как обмен несколькими NFT и токенами за одну транзакцию. 

При правильном использовании команды универсального маршрутизатора отправят указанную сумму указанному получателю. Однако, если во время передачи вызывается сторонний код, он может повторно войти в маршрутизатор и потребовать токены в контракте. В основном это связано с тем, что универсальный маршрутизатор удерживал баланс между транзакциями. 

В своем Proof-of-Concept команда Dedaub отметила, что злоумышленник может добавить команду SWEEP для всех токенов, оставшихся после отправки начальных сумм. В рамках транзакции получатель мог быстро слить всю сумму.

Команда Uniswap действовала быстро

Команда Дедауба мгновенно проинформировала команду UniSwap о возможности такой атаки. Они посоветовали команде Uniswap встроить блокировку повторного входа в свой новый маршрутизатор перед развертыванием. 

Uniswap мгновенно разобрался с проблемой, внеся необходимые коррективы перед принятием договора. Uniswap награжден Dedaub разыграйте награду в размере 40 тысяч долларов, чтобы продемонстрировать свою приверженность безопасности людей. Однако команда Uniswap оценила проблему как серьезное, но маловероятное событие. Следовательно, это может произойти в очень сложных сценариях.

Ассоциация Протокол DEX UniSwap обычно знаком с атаками с повторным входом. В 2020 году появились сообщения о том, что DEX вместе с Lendf.me потеряли 25 миллионов долларов в результате простой атаки с повторным входом. Сеть также пострадала от других атак, таких как взлом. В июле 2022 года хакеры украли 8 миллионов долларов. ETH с помощью фишинговой атаки.


Следите за нами в Новостях Google

Источник: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/