Uniswap の新しく実装されたバグ報奨金プログラムは、ユニバーサル ルーター スマート コントラクトの既存の脆弱性を発見し、その後解決するのに役立ったため、大成功を収めました。
Permit2 と Universal Router という 2022 つの新しいスマート コントラクトは、2 年 20 月にリリースされました。PermitXNUMX スマート コントラクトは、トークン承認の共有と管理を通じて、一連の安全な承認機能へのアクセスをアプリケーションに付与します。 一方、ユニバーサル ルーターは、ERC-XNUMX および NFT トランザクションを単一のスワップ ルーターにコンパイルし、さまざまな種類の暗号通貨間で交換するためのより効率的な方法を Uniswap に提供します。
これらの新しいスマート コントラクトの導入に伴い、Uniswap は、プラットフォームが潜在的な脆弱性を検出するのに役立つバグ報奨金プログラムも発表しました。 デジタル通貨とブロックチェーン市場が進化し続けるにつれて、バグ報奨金は、企業がソフトウェア、システム、および重要なインフラストラクチャを確実に保護する方法になりました。
DeFi のセキュリティ監査会社である Dedaub は、ユニバーサル ルーターのスマート コントラクトの脆弱性を特定したことで、最初に多額の賞を受賞しました。 この脆弱性は、トランザクションの確認時間中に再入を許可する機能を持っていると報告されており、攻撃者がこれを悪用してウォレットの資金を流出させる可能性があります。
Dedaub チームは、重大な脆弱性を Uniswap チームに公開しました!
資金は安全です – Uniswap はこの問題に対処し、すべてのチェーンにユニバーサル ルーター スマート コントラクトを再展開しました 👏
この脆弱性により、再入力によりユーザーの資金が tx の半ばに流出する可能性があります。
— dedaub(@dedaub) 2023 年 1 月 2 日
Dedaub 氏は、Universal Router は、一度に複数のトークンや NFT を交換するなど、一度に多数の取引を行う機会をユーザーに提供すると説明しています。 ルーターに統合されたスクリプト言語は、外部の受取人への送金を含む、膨大な数のトークン アクティビティに対応しています。 段階的に正しく行われた場合、トランザクションがスマート コントラクトのパラメーターによって設定された基準を満たした場合、これらの資金はすぐに配信されます。
設計上、これは、サード パート コードが転送中に呼び出されると、コードがユニバーサル ルーターに再入力し、スマート コントラクトにあるトークンを一時的に管理またはプルできることを意味します。 これにより、Dedaub ホワイトハットは Uniswap に解決策を通知するようになりました。これには、ユニバーサル ルーターのコア実行モジュールの再入可能ロックを使用してスマート コントラクトにパッチを適用することが含まれていました。
Uniswap はその後、Dedaub チームが迅速に開示したことに対して、40,000 ドルを迅速に授与しました。 Uniswap によると、この問題は中程度の深刻度でしたが、脆弱性をさらに評価したところ、可能性は低く影響が大きいシナリオであることが示されました。 Dedaub 氏は、このシナリオは、ユーザーが信頼できない受信者に NFT を直接送信した場合にのみ発生するため、攻撃ベクトルはユーザー側のエラーと見なすことができることを確認しています。
免責事項:この記事は情報提供のみを目的として提供されています。 法律、税務、投資、財務、またはその他のアドバイスとして提供または使用することを意図したものではありません。
ソース: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability