Une entreprise de sécurité découvre une "vulnérabilité critique" dans le contrat intelligent Uniswap

La société de sécurité Blockchain Dedaub a découvert une «vulnérabilité critique» dans un contrat intelligent Uniswap, qui a depuis été corrigé et redéployé.

Dans une mise à jour du 3 janvier, Dedaub a déclaré avoir révélé une vulnérabilité avec les contrats intelligents du routeur universel qui permettrait à la réentrée de drainer les fonds des utilisateurs au milieu d'une transaction. Une attaque de réentrance a lieu lorsqu'un acteur malveillant crée un contrat intelligent externe avec un code malveillant pour interagir avec et exploiter un contrat intelligent vulnérable et voler des fonds en boucle encore et encore.

Le routeur universel est un contrat intelligent relativement nouveau qui a été introduit par Uniswap Labs en novembre. Il fonctionne en regroupant les transactions NFT et les jetons ERC-20 dans un routeur optimisé pour le gaz et permet aux utilisateurs d'échanger plusieurs jetons sur Uniswap et d'acheter des NFT sur les marchés en une seule transaction.

"Si un code non fiable est invoqué à tout moment du transfert, le code peut réintégrer UniversalRouter et réclamer tous les jetons déjà dans le contrat UniversalRouter", a expliqué le fondateur de Dedaub, Yannis Smaragdakis, dans un blog récents.

Dedaub a reçu une prime de bogue d'une valeur de 40,000 XNUMX $ en USDC d'Uniswap après avoir signalé le bogue. L'équipe Uniswap a résolu le problème et mis en place un correctif sur le contrat, a affirmé Valérie Plante. l'entreprise de sécurité.

Bien que Dedaub ait décrit le bogue comme critique, Uniswap classifié comme un problème de « gravité moyenne » dans un message à l'entreprise de sécurité. Au moment de la rédaction de cet article, l'équipe Uniswap n'avait publié aucune déclaration sur une plate-forme publique traitant du bogue.