Sikkerhedsfirma finder 'kritisk sårbarhed' i Uniswap Smart Contract

Blockchain-sikkerhedsfirmaet Dedaub fandt en "kritisk sårbarhed" i en Uniswap smart kontrakt, som siden er blevet behandlet og omplaceret.

I en opdatering den 3. januar sagde Dedaub, at det havde afsløret en sårbarhed med Universal Router smarte kontrakter, der ville tillade genindtræden for at dræne brugernes midler midt i en transaktion. Et re-entrancy-angreb finder sted, når en dårlig skuespiller opretter en ekstern smart kontrakt med ondsindet kode for at interagere med og udnytte en sårbar smart kontrakt og stjæle penge på en sløjfet måde igen og igen.

Universal Router er en ret ny smart kontrakt, der var introduceret af Uniswap Labs i november. Den fungerer ved at gruppere NFT-handler og ERC-20-tokens i en gasoptimeret router og lader brugere bytte flere tokens på Uniswap og købe NFT'er på tværs af markedspladser i en enkelt transaktion.

"Hvis ikke-pålidelig kode påkaldes på et hvilket som helst tidspunkt i overførslen, kan koden genindtræde i UniversalRouter og gøre krav på alle tokens, der allerede er i UniversalRouter-kontrakten," forklarede Dedaub-grundlægger Yannis Smaragdakis i en blogindlæg.

Dedaub modtog en fejlbelønning på $40,000 USDC fra Uniswap efter at have rapporteret fejlen. Uniswap-teamet har behandlet problemet og implementeret en rettelse på kontrakten, sagde sikkerhedsfirmaet.

Selvom Dedaub beskrev fejlen som kritisk, Uniswap klassificeret det som et "middelsvær" problem i en besked til sikkerhedsfirmaet. I skrivende stund havde Uniswap-teamet ikke udsendt nogen egne erklæringer på en offentlig platform, der adresserede fejlen.