DeFi-ի աուդիտորը 40,000 դոլար է ստանում Uniswap-ի խոցելիությունը բացահայտելու համար

Uniswap-ի վերջերս գործարկված bug bounty ծրագիրը հանգեցրել է արձանագրության Universal Router-ի խելացի պայմանագրի այժմ ֆիքսված խոցելիության հայտնաբերմանը:

Ավտոմատացված շուկայական արտադրող ազատ է արձակվել երկու նոր խելացի պայմանագրեր իր հարթակում 2022 թվականի նոյեմբերին: Permit2-ը թույլ է տալիս կիսվել և կառավարել նշանների հաստատումները տարբեր հավելվածներում, մինչդեռ Universal Router-ը միավորում է ERC-20-ը և չփոխարինվող նշանները (NFT), որոնք փոխանակվում են մեկ փոխանակման երթուղիչի մեջ:

Uniswap-ը նաև գովազդեց շահութաբեր bug bounty ծրագիր՝ 2022 թվականի վերջում իր խելացի պայմանագրերում պոտենցիալ խոցելիությունը բացահայտելու համար, քանի որ այն ձգտում էր ապահովել իր արձանագրության անվտանգությունն ու արդյունավետությունը:

Խելացի պայմանագրերի անվտանգության և աուդիտորական Dedaub ընկերությունը հայտարարել է, որ ստացել է սխալի պարգև՝ Universal Router-ի խելացի պայմանագրում նշելով խոցելիությունը, որը թույլ կտար վերագրանցումը սպառել օգտատերերի միջոցները գործարքի կեսին:

Dedaub-ի թիմը Uniswap թիմի համար բացահայտել է Կրիտիկական խոցելիություն:

Ֆոնդերը ապահով են – Uniswap-ը լուծեց խնդիրը և վերաբաշխեց Universal Router-ի խելացի պայմանագրերն իր բոլոր շղթաներում

Խոցելիությունը թույլ է տալիս նորից մուտք գործել՝ սպառելու օգտատիրոջ միջոցները, միջին TX:

pic.twitter.com/wFSFsohPvy

— Դեդաուբ (@dedaub) Հունվար 2, 2023

Համաձայն Dedaub-ի խզման՝ Ունիվերսալ երթուղիչը թույլ է տալիս օգտատերերին կատարել տարբեր գործողություններ՝ ներառյալ բազմաթիվ նշաններ և NFT-ների փոխանակում մեկ գործարքում:

Երթուղիչը ներկառուցում է սկրիպտավորման լեզու տարբեր նշանների գործողությունների համար, որոնք կարող են ներառել փոխանցումներ երրորդ կողմի հասցեատերերին: Եթե ​​ճիշտ իրականացվի, փոխանցումները կուղղվեն ստացողին նշված պարամետրերով:

Related: Immunefi-ն ասում է, որ սկզբից ի վեր նպաստել է 66 միլիոն դոլարի վրիպակների պարգևատրմանը 

Այնուամենայնիվ, Dedaub-ը հայտնաբերել է խոցելիություն, որի դեպքում փոխանցման ընթացքում օգտագործվել է երրորդ կողմի կոդը՝ թույլ տալով, որ կոդը նորից մտնի Ունիվերսալ երթուղիչ և պահանջի ցանկացած նշան, որը ժամանակավորապես եղել է պայմանագրում:

Այնուհետև Դեդաուբն առաջարկեց պարզ միջոց՝ խորհուրդ տալով Uniswap թիմին ավելացնել նոր մուտքի կողպեք նոր երթուղիչի հիմնական աշխատանքին: Uniswap-ը աուդիտորական ընկերությանը շնորհել է ընդհանուր 40,000 ԱՄՆ դոլար՝ խոցելիությունը նշելու համար: Գումարը ներառում էր 33% բոնուս՝ 2022 թվականի նոյեմբերին Uniswap-ի բոնուսային ժամանակահատվածում խնդրի մասին զեկուցելու համար:

Uniswap-ը խնդիրը դասակարգեց որպես միջին ծանրության, մինչդեռ հետագա գնահատմամբ խոցելիությունը բարձր ազդեցություն և ցածր հավանականություն համարվեց: Ըստ Dedaub-ի, օգտվողի կողմից NFT-ներ ուղղակիորեն անվստահելի ստացողին ուղարկելու հնարավորությունը համարվում էր օգտագործողի սխալ:

Ավելի բարդ և ավելի քիչ հավանական սցենարները վավեր էին համարվում վերագրանցման համար, ինչը հանգեցրեց նրան, որ Uniswap-ը վեկտորը համարեց ցածր հավանականություն: Cointelegraph-ը դիմել է Uniswap-ին՝ ճշտելու իր ընթացիկ պարգևավճարների ծրագրի, վճարված գումարների և մինչ օրս հայտնաբերված սխալների քանակի մասին լրացուցիչ մանրամասներ:

Սխալների պարգևավճարները սովորական են դարձել կրիպտոարժույթի և բլոկչեյնի տարածքում, քանի որ հարթակները և ընկերությունները ձգտում են ապահովել իրենց ծրագրաշարի, համակարգերի և ենթակառուցվածքների անվտանգությունը: 

Կրիպտոարժույթի փոխանակում Coinbase վերջերս պարզաբանեց իր bug bounty-ի պայմանները, մինչդեռ բլոկչեյն անվտանգության Immunefi ֆիրման ունի նպաստել է ավելի քան 65 մլն դոլար 3 թվականին էթիկական հաքերների և Web2022 ընկերությունների միջև առկա սխալների առավելությունները: