Uniswap-ի վերջերս գործարկված bug bounty ծրագիրը հանգեցրել է արձանագրության Universal Router-ի խելացի պայմանագրի այժմ ֆիքսված խոցելիության հայտնաբերմանը:
Ավտոմատացված շուկայական արտադրող ազատ է արձակվել երկու նոր խելացի պայմանագրեր իր հարթակում 2022 թվականի նոյեմբերին: Permit2-ը թույլ է տալիս կիսվել և կառավարել նշանների հաստատումները տարբեր հավելվածներում, մինչդեռ Universal Router-ը միավորում է ERC-20-ը և չփոխարինվող նշանները (NFT), որոնք փոխանակվում են մեկ փոխանակման երթուղիչի մեջ:
Uniswap-ը նաև գովազդեց շահութաբեր bug bounty ծրագիր՝ 2022 թվականի վերջում իր խելացի պայմանագրերում պոտենցիալ խոցելիությունը բացահայտելու համար, քանի որ այն ձգտում էր ապահովել իր արձանագրության անվտանգությունն ու արդյունավետությունը:
Խելացի պայմանագրերի անվտանգության և աուդիտորական Dedaub ընկերությունը հայտարարել է, որ ստացել է սխալի պարգև՝ Universal Router-ի խելացի պայմանագրում նշելով խոցելիությունը, որը թույլ կտար վերագրանցումը սպառել օգտատերերի միջոցները գործարքի կեսին:
Dedaub-ի թիմը Uniswap թիմի համար բացահայտել է Կրիտիկական խոցելիություն:
Ֆոնդերը ապահով են – Uniswap-ը լուծեց խնդիրը և վերաբաշխեց Universal Router-ի խելացի պայմանագրերն իր բոլոր շղթաներում
Խոցելիությունը թույլ է տալիս նորից մուտք գործել՝ սպառելու օգտատիրոջ միջոցները, միջին TX:
— Դեդաուբ (@dedaub) Հունվար 2, 2023
Համաձայն Dedaub-ի խզման՝ Ունիվերսալ երթուղիչը թույլ է տալիս օգտատերերին կատարել տարբեր գործողություններ՝ ներառյալ բազմաթիվ նշաններ և NFT-ների փոխանակում մեկ գործարքում:
Երթուղիչը ներկառուցում է սկրիպտավորման լեզու տարբեր նշանների գործողությունների համար, որոնք կարող են ներառել փոխանցումներ երրորդ կողմի հասցեատերերին: Եթե ճիշտ իրականացվի, փոխանցումները կուղղվեն ստացողին նշված պարամետրերով:
Related: Immunefi-ն ասում է, որ սկզբից ի վեր նպաստել է 66 միլիոն դոլարի վրիպակների պարգևատրմանը
Այնուամենայնիվ, Dedaub-ը հայտնաբերել է խոցելիություն, որի դեպքում փոխանցման ընթացքում օգտագործվել է երրորդ կողմի կոդը՝ թույլ տալով, որ կոդը նորից մտնի Ունիվերսալ երթուղիչ և պահանջի ցանկացած նշան, որը ժամանակավորապես եղել է պայմանագրում:
Այնուհետև Դեդաուբն առաջարկեց պարզ միջոց՝ խորհուրդ տալով Uniswap թիմին ավելացնել նոր մուտքի կողպեք նոր երթուղիչի հիմնական աշխատանքին: Uniswap-ը աուդիտորական ընկերությանը շնորհել է ընդհանուր 40,000 ԱՄՆ դոլար՝ խոցելիությունը նշելու համար: Գումարը ներառում էր 33% բոնուս՝ 2022 թվականի նոյեմբերին Uniswap-ի բոնուսային ժամանակահատվածում խնդրի մասին զեկուցելու համար:
Uniswap-ը խնդիրը դասակարգեց որպես միջին ծանրության, մինչդեռ հետագա գնահատմամբ խոցելիությունը բարձր ազդեցություն և ցածր հավանականություն համարվեց: Ըստ Dedaub-ի, օգտվողի կողմից NFT-ներ ուղղակիորեն անվստահելի ստացողին ուղարկելու հնարավորությունը համարվում էր օգտագործողի սխալ:
Ավելի բարդ և ավելի քիչ հավանական սցենարները վավեր էին համարվում վերագրանցման համար, ինչը հանգեցրեց նրան, որ Uniswap-ը վեկտորը համարեց ցածր հավանականություն: Cointelegraph-ը դիմել է Uniswap-ին՝ ճշտելու իր ընթացիկ պարգևավճարների ծրագրի, վճարված գումարների և մինչ օրս հայտնաբերված սխալների քանակի մասին լրացուցիչ մանրամասներ:
Սխալների պարգևավճարները սովորական են դարձել կրիպտոարժույթի և բլոկչեյնի տարածքում, քանի որ հարթակները և ընկերությունները ձգտում են ապահովել իրենց ծրագրաշարի, համակարգերի և ենթակառուցվածքների անվտանգությունը:
Կրիպտոարժույթի փոխանակում Coinbase վերջերս պարզաբանեց իր bug bounty-ի պայմանները, մինչդեռ բլոկչեյն անվտանգության Immunefi ֆիրման ունի նպաստել է ավելի քան 65 մլն դոլար 3 թվականին էթիկական հաքերների և Web2022 ընկերությունների միջև առկա սխալների առավելությունները:
Աղբյուր՝ https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability