برنامه پاداش باگ Uniswap که اخیراً راه اندازی شده است منجر به کشف یک آسیب پذیری در قرارداد هوشمند روتر جهانی پروتکل شده است.
بازارساز خودکار منتشر شد دو قرارداد هوشمند جدید با پلتفرم خود در نوامبر 2022. Permit2 اجازه می دهد تا تأییدیه های توکن در برنامه های مختلف به اشتراک گذاشته و مدیریت شوند، در حالی که روتر جهانی ERC-20 و توکن های غیرقابل تعویض (NFT) را در یک روتر مبادله یکپارچه می کند.
یونیسوآپ همچنین یک برنامه پاداش باگ سودآور را برای شناسایی آسیبپذیریهای احتمالی در قراردادهای هوشمند خود در پایان سال 2022 تبلیغ کرد زیرا به دنبال اطمینان از ایمنی و کارایی پروتکل خود بود.
شرکت حسابرسی و امنیت قراردادهای هوشمند Dedaub اعلام کرد که پس از علامت گذاری یک آسیب پذیری در قرارداد هوشمند روتر جهانی که به ورود مجدد اجازه می داد وجوه کاربر در اواسط تراکنش تخلیه شود، جایزه باگ دریافت کرده است.
تیم Dedaub یک آسیب پذیری بحرانی را برای تیم Uniswap فاش کرده است!
وجوه امن هستند - Uniswap به این مشکل رسیدگی کرد و قراردادهای هوشمند روتر جهانی را در تمام زنجیرههای خود مجدداً مستقر کرد.
این آسیبپذیری اجازه ورود مجدد به کاربر را میدهد تا وجوه کاربر را در اواسط TX تخلیه کند.
- دداب (@dedaub) ژانویه 2، 2023
با توجه به تفکیک Dedaub، روتر جهانی به کاربران اجازه می دهد تا اقدامات مختلفی از جمله مبادله چندین توکن و NFT را در یک تراکنش انجام دهند.
روتر یک زبان برنامه نویسی را برای طیف گسترده ای از اقدامات نشانه تعبیه می کند، که می تواند شامل انتقال به گیرندگان شخص ثالث باشد. اگر به درستی اجرا شود، انتقال ها در پارامترهای مشخص شده به گیرنده می روند.
مرتبط: Immunefi میگوید از زمان آغاز به کار 66 میلیون دلار جایزه باگ را تسهیل کرده است
با این حال، Dedaub آسیبپذیری را شناسایی کرد که در آن کد شخص ثالث در حین انتقال فراخوانی میشد و به کد اجازه میداد دوباره وارد روتر جهانی شود و هرگونه توکنی را که به طور موقت در قرارداد وجود داشت، ادعا کند.
Dedaub سپس یک راه حل ساده را پیشنهاد کرد و به تیم Uniswap توصیه کرد که یک قفل ورود مجدد به اجرای اصلی روتر جدید اضافه کنند. Uniswap در مجموع 40,000 دلار به شرکت حسابرسی برای نشان دادن این آسیب پذیری اعطا کرد. این مبلغ شامل یک پاداش 33 درصدی برای گزارش مشکل در طول دوره جایزه Uniswap در نوامبر 2022 است.
Uniswap این مشکل را به عنوان شدت متوسط طبقهبندی کرد، در حالی که ارزیابی بیشتر آسیبپذیری را دارای تأثیر بالا و احتمال کم ارزیابی کرد. به گفته Dedaub، امکان ارسال مستقیم NFT توسط کاربر به یک گیرنده غیرقابل اعتماد به عنوان یک خطای کاربر در نظر گرفته شد.
سناریوهای پیچیدهتر و کمتر محتملتر برای ورود مجدد معتبر در نظر گرفته شدند، که منجر به Uniswap شد که بردار را دارای احتمال کم در نظر گرفت. کوین تلگراف با Uniswap تماس گرفته است تا از جزئیات بیشتر برنامه جایزه در حال انجام، مبالغ پرداخت شده و تعداد باگ های شناسایی شده تا به امروز مطلع شود.
از آنجایی که پلتفرمها و شرکتها به دنبال تضمین امنیت نرمافزار، سیستمها و زیرساختهای خود هستند، پاداشهای باگ در فضای ارزهای دیجیتال و بلاک چین رایج شده است.
صرافی ارزهای دیجیتال Coinbase اخیرا شرایط باگ بوونتی خود را روشن کرد، در حالی که شرکت امنیتی بلاک چین Immunefi چنین کرده است بیش از 65 میلیون دلار تسهیل کرد ارزش پاداش های باگ بین هکرهای اخلاقی و شرکت های Web3 در سال 2022.
منبع: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability