برنامه باگ بونتی جدید Uniswap که به تازگی اجرا شده است یک موفقیت بزرگ بوده است، زیرا به کشف و متعاقباً رفع آسیبپذیری موجود در قرارداد هوشمند روتر جهانی کمک کرد.
دو قرارداد هوشمند جدید، Permit2 و Universal Router، در نوامبر 2022 منتشر شدند. قرارداد هوشمند Permit2 از طریق اشتراکگذاری و مدیریت تأییدیه توکن، دسترسی به مجموعهای از قابلیتهای مجوز امن را به برنامهها اعطا میکند. از سوی دیگر، روتر یونیورسال تراکنشهای ERC-20 و NFT را در یک روتر مبادله جمعآوری میکند و به Uniswap روش کارآمدتری برای مبادله بین انواع مختلف ارزهای دیجیتال میدهد.
با معرفی این قراردادهای هوشمند جدید، Uniswap همچنین یک برنامه پاداش باگ را اعلام کرد که به پلتفرم کمک می کند هر گونه آسیب پذیری احتمالی را شناسایی کند. همانطور که بازار ارز دیجیتال و بلاک چین به تکامل خود ادامه میدهد، پاداشهای باگ راهی برای شرکتها شده است تا نرمافزار، سیستمها و زیرساختهای حیاتی خود را ایمن کنند.
شرکت حسابرسی امنیتی Dedaub از جمله اولین شرکت هایی بود که به دلیل کار خود در شناسایی آسیب پذیری در قرارداد هوشمند روتر جهانی جایزه سنگین دریافت کرد. این آسیبپذیری دارای قابلیت اجازه ورود مجدد در طول زمان تأیید تراکنش است که میتواند توسط عوامل تهدید برای تخلیه وجوه کیف پول مورد سوء استفاده قرار گیرد.
تیم Dedaub یک آسیب پذیری بحرانی را برای تیم Uniswap فاش کرده است!
وجوه امن هستند - Uniswap به این مشکل رسیدگی کرد و قراردادهای هوشمند روتر جهانی را در همه زنجیرههای خود مجدداً مستقر کرد.
این آسیبپذیری اجازه ورود مجدد به کاربر را میدهد تا وجوه کاربر را در اواسط TX تخلیه کند.
- دداب (@dedaub) ژانویه 2، 2023
دداوب توضیح میدهد که روتر جهانی به کاربران این امکان را میدهد تا تراکنشهای متعددی را به صورت همزمان انجام دهند، مانند مبادله چندین توکن و NFT در یک حرکت. زبان برنامه نویسی یکپارچه روتر قادر به انجام طیف گسترده ای از فعالیت های رمزی از جمله انتقال به گیرندگان خارجی است. هنگامی که گام به گام به درستی انجام شود، در صورتی که معامله با معیارهای تعیین شده توسط پارامترهای قرارداد هوشمند مطابقت داشته باشد، این وجوه بلافاصله تحویل داده می شود.
با طراحی، این بدان معنی است که یک کد قسمت سوم، زمانی که در حین انتقال فراخوانی میشود، میتواند به کد اجازه دهد تا دوباره وارد روتر جهانی شود و توکنهایی را که در قرارداد هوشمند هستند برای یک دوره موقت مدیریت یا بکشد. این امر Dedaub whitehats را بر آن داشت تا Uniswap را در مورد یک قطعنامه راهنمایی کنند که شامل وصله قرارداد هوشمند با یک قفل مجدد برای ماژول اجرای هسته Universal Router است.
سپس Uniswap به سرعت 40,000 دلار به تیم Dedaub برای افشای سریع آنها اهدا کرد. به گفته Uniswap، این موضوع از شدت سطح متوسط برخوردار بود، در حالی که ارزیابی بیشتر آسیبپذیری به سناریوی کم شانس و با تأثیر زیاد اشاره کرد. Dedaub تأیید میکند که بردار حمله را میتوان به عنوان خطای پایان کاربر در نظر گرفت، زیرا این سناریو تنها در صورتی اتفاق میافتد که کاربر مستقیماً NFTها را به یک گیرنده نامعتبر ارسال کند.
سلب مسئولیت: این مقاله فقط برای اطلاع رسانی ارائه شده است. به عنوان مشاوره حقوقی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد ارائه یا در نظر گرفته نشده است.
منبع: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability