Una società di sicurezza trova una "vulnerabilità critica" nello Smart Contract di Uniswap

La società di sicurezza blockchain Dedaub ha riscontrato una “vulnerabilità critica” in uno smart contract Uniswap, che da allora è stata affrontata e ridistribuita.

In un aggiornamento del 3 gennaio, Dedaub ha affermato di aver rivelato una vulnerabilità con i contratti intelligenti dell'Universal Router che consentirebbe al rientro di drenare i fondi degli utenti nel mezzo di una transazione. Un attacco di rientro avviene quando un malintenzionato crea uno smart contract esterno con codice dannoso per interagire e sfruttare uno smart contract vulnerabile e rubare fondi in modo ciclico più e più volte.

L'Universal Router è un contratto intelligente abbastanza nuovo introdotto da Uniswap Labs a novembre. Funziona raggruppando le operazioni NFT e i token ERC-20 in un router ottimizzato per il gas e consente agli utenti di scambiare più token su Uniswap e acquistare NFT sui mercati in un'unica transazione.

"Se in qualsiasi momento del trasferimento viene invocato un codice non attendibile, il codice può rientrare nell'UniversalRouter e rivendicare eventuali token già presenti nel contratto UniversalRouter", ha spiegato il fondatore di Dedaub Yannis Smaragdakis in un post sul blog.

Dedaub ha ricevuto una ricompensa per un bug del valore di $ 40,000 in USDC da Uniswap dopo aver segnalato il bug. Il team di Uniswap ha affrontato il problema e implementato una correzione sul contratto, disse l'impresa di sicurezza.

Sebbene Dedaub abbia descritto il bug come critico, Uniswap classificato come un problema di “media gravità” in un messaggio alla società di sicurezza. Al momento della stesura di questo articolo, il team di Uniswap non ha rilasciato alcuna dichiarazione su una piattaforma pubblica che risolva il bug.