Uniswap が最近開始したバグ報奨金プログラムにより、プロトコルの Universal Router スマート コントラクトの現在修正されている脆弱性が発見されました。
自動化されたマーケットメーカー リリース 2022 年 2 月に 20 つの新しいスマート コントラクトがそのプラットフォームに追加されました。PermitXNUMX はトークン承認をさまざまなアプリケーション間で共有および管理できるようにし、ユニバーサル ルーターは ERC-XNUMX と非代替トークン (NFT) スワップを単一のスワップ ルーターに統合します。
Uniswap はまた、プロトコルの安全性と有効性を保証するために、2022 年末に向けてスマート コントラクトの潜在的な脆弱性を特定するための有利なバグ報奨金プログラムを宣伝しました。
スマート コントラクトのセキュリティおよび監査会社である Dedaub は、ユニバーサル ルーター スマート コントラクトの脆弱性にフラグを立てた後、バグ報奨金を受け取ったことを発表しました。
Dedaub チームは、重大な脆弱性を Uniswap チームに公開しました!
資金は安全です – Uniswap は問題に対処し、すべてのチェーンにユニバーサル ルーター スマート コントラクトを再展開しました
この脆弱性により、再入力によりユーザーの資金が tx の半ばに流出する可能性があります。
— dedaub(@dedaub) 2023 年 1 月 2 日
Dedaub の内訳によると、ユニバーサル ルーターを使用すると、ユーザーは XNUMX 回のトランザクションで複数のトークンや NFT を交換するなど、さまざまなアクションを実行できます。
ルーターには、サード パーティの受信者への転送を含む、さまざまなトークン アクション用のスクリプト言語が組み込まれています。 正しく実装されていれば、転送は指定されたパラメータ内で受信者に送られます。
関連する Immunefi は、創業以来 66 万ドルのバグ報奨金を促進したと述べています。
しかし、Dedaub は、転送中にサードパーティのコードが呼び出され、そのコードがユニバーサル ルーターに再び入り、コントラクトに一時的に含まれていたトークンを要求できるという脆弱性を特定しました。
その後、Dedaub は簡単な解決策を提案し、Uniswap チームに、新しいルーターのコア実行に再入可能ロックを追加するようアドバイスしました。 Uniswap は、脆弱性にフラグを立てたことに対して、監査会社に合計 40,000 ドルを授与しました。 この金額には、33 年 2022 月の Uniswap のボーナス期間中に問題を報告したことに対する XNUMX% のボーナスが含まれていました。
Uniswap はこの問題を中程度の重大度に分類しましたが、さらに評価を行った結果、この脆弱性は影響が大きく、可能性が低いと判断されました。 Dedaub 氏によると、ユーザーが NFT を信頼できない受信者に直接送信する可能性は、ユーザー エラーと見なされていました。
より複雑で可能性が低いシナリオが再入可能性に有効であると見なされたため、Uniswap はベクトルの可能性が低いと見なしました。 コインテレグラフはユニスワップに連絡を取り、進行中の報奨金プログラム、支払われた金額、現在までに特定されたバグの数の詳細を確認しました。
プラットフォームや企業がソフトウェア、システム、インフラストラクチャのセキュリティを確保しようとしているため、バグ報奨金は暗号通貨とブロックチェーンの分野で一般的になっています。
仮想通貨取引所 Coinbase 最近 バグ報奨金の条件を明確にしました、ブロックチェーン セキュリティ会社の Immunefi は、 65 万ドル以上を支援 3 年の倫理的ハッカーと Web2022 企業間のバグ報奨金の価値。
ソース: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability