روتر جهانی UniSwap در برابر حملات ورود مجدد آسیب پذیر بود

تولد این آسیب پذیری به نوامبر برمی گردد که UniSwap روتر جهانی خود را معرفی کرد. این روتر تعویض NFT و ERC-20 را به یک روتر swap یکپارچه می کند. هدف این بود که به کاربران کمک کنیم تا چندین کار را انجام دهند مانند مبادله چندین NFT و توکن در یک تراکنش. 

در صورت استفاده صحیح، دستورات روتر جهانی مقدار مشخص شده را برای گیرنده مشخص شده ارسال می کند. با این حال، اگر یک کد شخص ثالث در حین انتقال فراخوانی شود، می تواند دوباره وارد روتر شود و توکن ها را در قرارداد ادعا کند. این عمدتاً به این دلیل است که روتر جهانی تعادل بین تراکنش ها را حفظ می کند. 

در Proof-of-Concept، تیم Dedaub خاطرنشان کرد که مهاجم می‌تواند یک دستور SWEEP را برای تمام توکن‌های باقی‌مانده پس از ارسال مقادیر اولیه اضافه کند. به عنوان بخشی از معامله، گیرنده می تواند به سرعت کل مبلغ را تخلیه کند.

تیم Uniswap سریع عمل کرد

تیم Dedaub بلافاصله تیم UniSwap را از احتمال چنین حمله ای مطلع کرد. آنها به تیم Uniswap توصیه کردند قبل از استقرار یک قفل ورود مجدد در روتر جدید خود تعبیه کنند. 

Uniswap بلافاصله با این موضوع برخورد کرد و تنظیمات لازم را قبل از پذیرش قرارداد انجام داد. Uniswap Dedaub را اعطا کرد برای نشان دادن تعهد خود به امنیت افراد، جایزه 40 هزار دلاری باگ تیم را دریافت می کنند. با این حال، تیم Uniswap مشکل را به عنوان یک رویداد با تاثیر بالا اما کم احتمال ارزیابی کرد. از این رو، این می تواند در سناریوهای بسیار پیچیده رخ دهد.

La پروتکل DEX UniSwap به طور کلی با حملات ورود مجدد آشنا است. در سال 2020، گزارش هایی منتشر شد مبنی بر اینکه DEX به همراه Lendf.me در یک حمله ساده با ورود مجدد 25 میلیون دلار از دست داده اند. این شبکه همچنین متحمل حملات دیگری مانند هک شده است. در جولای 2022، هکرها 8 میلیون دلار را دستگیر کردند ETH با استفاده از حمله فیشینگ

ما را در Google News دنبال کنید