חברת האבטחה הבלוקצ'יין Dedaub מצאה "פגיעות קריטית" בחוזה חכם של Uniswap, שמאז טופל ונפרס מחדש.
בעדכון מ-3 בינואר, Dedaub אמרה שהיא חשפה נקודת תורפה עם החוזים החכמים של ה-Universal Router שתאפשר כניסה חוזרת כדי לרוקן את כספי המשתמשים באמצע עסקה. התקפת כניסה חוזרת מתרחשת כאשר שחקן גרוע יוצר חוזה חכם חיצוני עם קוד זדוני כדי לקיים אינטראקציה עם חוזה חכם פגיע ולנצל אותו ולגנוב כספים בלולאה שוב ושוב.
צוות Dedaub חשף פגיעות קריטית לצוות Uniswap!
הכספים בטוחים - Uniswap טיפלה בבעיה ופרסה מחדש את החוזים החכמים Universal Router בכל הרשתות שלה 👏
הפגיעות מאפשרת כניסה חוזרת כדי לנקז את כספי המשתמש, באמצע טקס.
- Dedaub (@dedaub) ינואר 2, 2023
הנתב האוניברסלי הוא חוזה חכם חדש למדי שהיה הציג על ידי Uniswap Labs בנובמבר. זה מתפקד על ידי קיבוץ עסקאות NFT ואסימוני ERC-20 לתוך נתב מותאם גז ומאפשר למשתמשים להחליף מספר אסימונים ב-Uniswap ולקנות NFTs על פני שווקים בעסקה אחת.
"אם קוד לא מהימן מופעל בכל נקודה בהעברה, הקוד יכול להיכנס מחדש ל-UniversalRouter ולתבוע את כל האסימונים שכבר נמצאים בחוזה UniversalRouter", הסביר מייסד Dedaub Yannis Smaragdakis ב- בלוג.
Dedaub קיבל פרס באג בשווי $40,000 של USDC מ-Uniswap לאחר שדיווח על הבאג. צוות Uniswap טיפל בבעיה ויישם תיקון בחוזה, אמר חברת האבטחה.
למרות ש-Dedaub תיאר את הבאג כקריטי, Uniswap מְסוּוָג זה כבעיית "חומרה בינונית" בהודעה לחברת האבטחה. בזמן כתיבת שורות אלה, צוות Uniswap לא פרסם הצהרות משלו בפלטפורמה ציבורית המתייחסת לבאג.
