Uniswap 新实施的漏洞赏金计划取得了巨大的成功,因为它帮助发现并随后解决了其 Universal Router 智能合约中的现有漏洞。
这两个新的智能合约 Permit2 和 Universal Router 于 2022 年 2 月发布。通过令牌批准共享和管理,Permit20 智能合约授予应用程序访问一系列安全授权功能的权限。 另一方面,Universal Router 将 ERC-XNUMX 和 NFT 交易编译到单个交换路由器中,为 Uniswap 提供了一种更有效的方法来在各种类型的加密货币之间进行交换。
随着这些新智能合约的推出,Uniswap 还宣布了一项漏洞赏金计划,该计划将帮助平台检测任何潜在漏洞。 随着数字货币和区块链市场的不断发展,漏洞赏金已成为公司确保其软件、系统和关键基础设施安全的一种方式。
DeFi 安全审计公司 Dedaub 是首批因其在识别 Universal Router 智能合约漏洞方面所做的工作而获得巨额奖励的公司之一。 该漏洞被标记为能够在交易确认时间内允许重新进入,威胁行为者可能会利用这一点来耗尽钱包的资金。
Dedaub 团队向 Uniswap 团队披露了一个严重漏洞!
资金是安全的——Uniswap 解决了这个问题并在其所有链上重新部署了 Universal Router 智能合约👏
该漏洞允许重新进入以耗尽用户的资金,mid-tx。
— 德道布 (@dedaub) 2023 年 1 月 2 日
Dedaub 解释说,通用路由器为用户提供了一次进行大量交易的机会,例如一次性交换多个代币和 NFT。 路由器的集成脚本语言能够进行大量的代币活动,包括向外部收款人的转账。 如果一步一步正确完成,如果交易符合智能合约参数设定的标准,这些资金将立即交付。
按照设计,这意味着第三方代码在传输过程中被调用时,可以允许代码重新进入通用路由器并在临时期间管理或提取智能合约上的代币。 这促使 Dedaub 白帽组织向 Uniswap 提出了一项解决方案,该解决方案涉及使用通用路由器核心执行模块的可重入锁修补智能合约。
Uniswap 随后迅速向 Dedaub 团队奖励了 40,000 美元,以表彰他们的及时披露。 根据 Uniswap 的说法,该问题的严重程度为中等,而对该漏洞的进一步评估表明这是一种低概率、高影响的情况。 Dedaub 确认攻击媒介可以被视为用户端错误,因为只有当用户直接将 NFT 发送给不受信任的收件人时才会发生这种情况。
免责声明:本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
资料来源:https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability