Uniswap 最近启动的漏洞赏金计划导致发现了该协议的通用路由器智能合约的一个现已修复的漏洞。
自动化做市商 发布 2022 年 2 月在其平台上发布了两个新的智能合约。Permit20 允许在不同的应用程序之间共享和管理代币批准,而 Universal Router 将 ERC-XNUMX 和非同质代币 (NFT) 交换统一到一个交换路由器中。
Uniswap 还宣传了一项利润丰厚的漏洞赏金计划,以在 2022 年底前识别其智能合约中的潜在漏洞,以确保其协议的安全性和有效性。
智能合约安全和审计公司 Dedaub 宣布,在标记 Universal Router 智能合约中的一个漏洞后,它获得了漏洞赏金,该漏洞可能允许重新进入以耗尽交易中的用户资金。
Dedaub 团队向 Uniswap 团队披露了一个严重漏洞!
资金安全——Uniswap 解决了这个问题并在其所有链上重新部署了 Universal Router 智能合约
该漏洞允许重新进入以耗尽用户的资金,mid-tx。
— 德道布 (@dedaub) 2023 年 1 月 2 日
根据 Dedaub 的细分,Universal Router 允许用户执行多种操作,包括在一次交易中交换多个代币和 NFT。
路由器嵌入了一种用于各种令牌操作的脚本语言,其中可能包括向第三方接收者的传输。 如果实施得当,转账将在指定参数范围内到达接收方。
相关新闻: Immunefi 表示自成立以来已促成 66 万美元的漏洞赏金
然而,Dedaub 发现了一个漏洞,在该漏洞中,第三方代码在传输过程中被调用,允许代码重新进入通用路由器并索取合约中临时存在的任何代币。
Dedaub 随后提出了一个直接的补救措施,建议 Uniswap 团队为新路由器的核心执行添加一个重入锁。 Uniswap 因标记该漏洞而向审计公司支付了总计 40,000 美元。 该金额包括在 33 年 2022 月 Uniswap 奖金期内报告该问题的 XNUMX% 奖金。
Uniswap 将该问题归类为中等严重程度,而进一步评估认为该漏洞具有高影响和低可能性。 根据 Dedaub 的说法,用户将 NFT 直接发送给不受信任的收件人的可能性被认为是用户错误。
更复杂和不太可能的场景被认为对重入有效,这导致 Uniswap 认为向量的可能性很低。 Cointelegraph 已与 Uniswap 联系,以确定其正在进行的赏金计划的更多细节、支付的金额以及迄今为止发现的漏洞数量。
随着平台和公司希望确保其软件、系统和基础设施的安全,漏洞奖励在加密货币和区块链领域变得司空见惯。
最近加密货币交易所 Coinbase 阐明了其漏洞赏金的条款,而区块链安全公司 Immunefi 拥有 促成超过 65 万美元 3 年道德黑客和 Web2022 公司之间的漏洞赏金价值。
资料来源:https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability