Perusahaan Keamanan Menemukan 'Kerentanan Kritis' dalam Kontrak Cerdas Uniswap

Perusahaan keamanan Blockchain Dedaub menemukan “kerentanan kritis” dalam kontrak pintar Uniswap, yang sejak saat itu telah ditangani dan digunakan kembali.

Dalam pembaruan 3 Januari, Dedaub mengatakan telah mengungkapkan kerentanan dengan kontrak pintar Router Universal yang memungkinkan masuk kembali untuk menguras dana pengguna di tengah transaksi. Serangan re-entrancy terjadi ketika aktor jahat membuat smart contract eksternal dengan kode berbahaya untuk berinteraksi dengan dan mengeksploitasi smart contract yang rentan dan mencuri dana secara berulang-ulang.

Universal Router adalah kontrak pintar yang cukup baru diperkenalkan oleh Uniswap Labs pada bulan November. Ini berfungsi dengan mengelompokkan perdagangan NFT dan token ERC-20 ke dalam router yang dioptimalkan gas dan memungkinkan pengguna menukar beberapa token di Uniswap dan membeli NFT di seluruh pasar dalam satu transaksi.

“Jika kode yang tidak dipercaya dipanggil kapan saja dalam transfer, kode tersebut dapat masuk kembali ke UniversalRouter dan mengklaim token apa pun yang sudah ada dalam kontrak UniversalRouter,” jelas pendiri Dedaub Yannis Smaragdakis dalam sebuah posting blog.

Dedaub menerima hadiah bug USDC senilai $40,000 dari Uniswap setelah melaporkan bug tersebut. Tim Uniswap telah menangani masalah ini dan menerapkan perbaikan pada kontrak, tersebut perusahaan keamanan.

Meskipun Dedaub menggambarkan bug tersebut sebagai kritis, Uniswap tergolong sebagai masalah "keparahan sedang" dalam pesan ke perusahaan keamanan. Pada saat penulisan, tim Uniswap belum mengeluarkan pernyataan apa pun di platform publik yang menangani bug tersebut.