Turvafirma leiab Uniswap Smart Contractis kriitilise haavatavuse

Blockchaini turvafirma Dedaub leidis Uniswapi nutikas lepingus "kriitilise haavatavuse", millega on vahepeal tegeletud ja ümber paigutatud.

3. jaanuari värskenduses teatas Dedaub, et on avalikustanud universaalsete ruuterite nutikate lepingute haavatavuse, mis võimaldaks uuesti siseneda ja kulutada kasutaja raha keset tehingut. Taassisenemise rünnak leiab aset siis, kui halb näitleja loob pahatahtliku koodiga välise nutika lepingu, et suhelda haavatava nutika lepinguga ja seda ära kasutada ning varastada rahalisi vahendeid ikka ja jälle.

Universaalne ruuter on üsna uus nutikas leping, mis oli sisse Uniswap Labsi poolt novembris. See toimib rühmitades NFT tehingud ja ERC-20 märgid gaasi optimeeritud ruuteriks ning võimaldab kasutajatel Uniswapis vahetada mitu žetoonit ja osta ühe tehinguga NFT-sid erinevatel turgudel.

"Kui edastuse mis tahes punktis kutsutakse välja ebausaldusväärne kood, võib kood uuesti UniversalRouterisse siseneda ja nõuda kõiki UniversalRouteri lepingus juba olevaid žetoone," selgitas Dedaubi asutaja Yannis Smaragdakis. blogi postitus.

Dedaub sai pärast veast teatamist Uniswapilt USDC väärtuses 40,000 XNUMX dollari väärtuses vearaha. Uniswapi meeskond on probleemiga tegelenud ja lepingu parandanud, ütles turvafirma.

Kuigi Dedaub kirjeldas viga kriitiliseks, Uniswap salastatud see on "keskmise raskusastmega" probleem turvafirmale saadetud sõnumis. Selle artikli kirjutamise ajal ei olnud Uniswapi meeskond avalikul platvormil vea käsitlemiseks ühtegi avaldust välja andnud.