Uniswap-ի նոր իրականացված bug bounty ծրագիրը մեծ հաջողություն ունեցավ, քանի որ այն օգնեց բացահայտել և հետագայում լուծել առկա խոցելիությունը իր Universal Router-ի խելացի պայմանագրում:
Երկու նոր խելացի պայմանագրերը՝ Permit2-ը և Universal Router-ը, թողարկվել են դեռևս 2022 թվականի նոյեմբերին: Թոքենների հաստատման համօգտագործման և կառավարման միջոցով Permit2 խելացի պայմանագիրը դիմումներին տրամադրում է մուտք դեպի անվտանգ թույլտվության հնարավորություններ: Մյուս կողմից, Universal Router-ը հավաքում է ERC-20 և NFT գործարքները մեկ փոխանակման երթուղիչի մեջ՝ տալով Uniswap-ին ավելի արդյունավետ մեթոդ տարբեր տեսակի կրիպտոարժույթների միջև փոխանակման համար:
Այս նոր խելացի պայմանագրերի ներդրմամբ Uniswap-ը նաև հայտարարեց bug bounty ծրագրի մասին, որը կօգնի հարթակին հայտնաբերել ցանկացած հնարավոր խոցելիություն: Քանի որ թվային արժույթի և բլոկչեյնի շուկան շարունակում է զարգանալ, վրիպակների պարգևավճարները ընկերությունների համար դարձել են միջոց՝ ապահովելու իրենց ծրագրաշարը, համակարգերը և կարևոր ենթակառուցվածքները:
DeFi անվտանգության աուդիտ իրականացնող Dedaub ընկերությունն առաջիններից էր, ով արժանացավ զգալի մրցանակի՝ Universal Router-ի խելացի պայմանագրի վրա խոցելիությունը հայտնաբերելու համար կատարած աշխատանքի համար: Խոցելիությունը նշվել է որպես գործարքի հաստատման ժամանակաշրջանում կրկին մուտքը թույլատրելու հնարավորություն, որը կարող է օգտագործվել սպառնալիքի դերակատարների կողմից՝ դրամապանակի միջոցները սպառելու համար:
Dedaub-ի թիմը Uniswap թիմի համար բացահայտել է Կրիտիկական խոցելիություն:
Ֆոնդերը ապահով են – Uniswap-ը լուծեց խնդիրը և վերաբաշխեց Universal Router-ի խելացի պայմանագրերն իր բոլոր շղթաներում 👏
Խոցելիությունը թույլ է տալիս նորից մուտք գործել՝ սպառելու օգտատիրոջ միջոցները, միջին TX:
— Դեդաուբ (@dedaub) Հունվար 2, 2023
Dedaub-ը բացատրում է, որ Ունիվերսալ երթուղիչն օգտատերերին հնարավորություն է տալիս միանգամից բազմաթիվ գործարքներ կատարել, ինչպես օրինակ՝ մի քանի նշանների և NFT-ների փոխանակում մեկ անգամ: Երթուղիչի ինտեգրված սկրիպտային լեզուն ի վիճակի է իրականացնել խորհրդանշական գործողությունների լայն տեսականի, ներառյալ փոխանցումներ արտաքին վճարողներին: Եթե քայլ առ քայլ ճիշտ կատարվի, այդ միջոցները կառաքվեն անմիջապես, եթե գործարքը համապատասխանի խելացի պայմանագրի պարամետրերով սահմանված չափանիշներին:
Դիզայնով սա նշանակում է, որ երրորդ մասի կոդը, երբ կանչվում է փոխանցման ընթացքում, կարող է թույլ տալ, որ կոդը նորից մուտք գործի Ունիվերսալ երթուղիչ և կառավարի կամ քաշի խելացի պայմանագրում գտնվող նշանները ժամանակավոր ժամկետով: Սա դրդեց Dedaub whitehats-ին խորհուրդ տալ Uniswap-ին մի բանաձևի մասին, որը ներառում էր խելացի պայմանագիրը թարմացնելու կողպեքով Universal Router-ի հիմնական կատարման մոդուլի համար:
Այնուհետև Uniswap-ը արագորեն 40,000 ԱՄՆ դոլար պարգևատրեց Dedaub թիմին՝ նրանց արագ բացահայտման համար: Ըստ Uniswap-ի, խնդիրը միջին մակարդակի էր, մինչդեռ խոցելիության հետագա գնահատումը մատնանշում էր ցածր հավանականության, մեծ ազդեցության սցենարը: Dedaub-ը հաստատում է, որ հարձակման վեկտորը կարող է դիտվել որպես օգտվողի վերջի սխալ, քանի որ սցենարը տեղի կունենա միայն այն դեպքում, եթե օգտվողն ուղղակիորեն NFT-ներ ուղարկի անվստահելի ստացողին:
Հրաժարում. Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված է օգտագործել որպես իրավական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհուրդ:
Աղբյուր՝ https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability