Beveiligingsbedrijf vindt 'kritieke kwetsbaarheid' in Uniswap Smart Contract

Blockchain-beveiligingsbedrijf Dedaub vond een "kritieke kwetsbaarheid" in een slim contract van Uniswap, dat sindsdien is aangepakt en opnieuw is geïmplementeerd.

In een update van 3 januari zei Dedaub dat het een kwetsbaarheid had onthuld met de slimme contracten van de Universal Router waardoor herintreding het geld van gebruikers tijdens een transactie zou kunnen leegmaken. Een herintredingsaanval vindt plaats wanneer een kwaadwillende een extern slim contract met schadelijke code aanmaakt om te communiceren met een kwetsbaar slim contract en dit te exploiteren en steeds opnieuw geld te stelen in een lus.

De Universal Router is een vrij nieuw slim contract dat was geïntroduceerd door Uniswap Labs in november. Het werkt door NFT-transacties en ERC-20-tokens te groeperen in een voor gas geoptimaliseerde router en laat gebruikers meerdere tokens op Uniswap ruilen en NFT's kopen op marktplaatsen in één enkele transactie.

"Als er op enig moment tijdens de overdracht een niet-vertrouwde code wordt gebruikt, kan de code opnieuw de UniversalRouter binnenkomen en tokens claimen die al in het UniversalRouter-contract staan", legt Dedaub-oprichter Yannis Smaragdakis uit in een blogpost.

Dedaub ontving een bugbounty van $ 40,000 aan USDC van Uniswap na het melden van de bug. Het Uniswap-team heeft het probleem aangepakt en een oplossing voor het contract geïmplementeerd, zei het beveiligingsbedrijf.

Hoewel Dedaub de bug als kritiek beschreef, heeft Uniswap geklasseerd het als een "gemiddeld ernstig" probleem in een bericht aan het beveiligingsbedrijf. Op het moment van schrijven had het Uniswap-team nog geen eigen verklaringen afgegeven op een openbaar platform om de bug aan te pakken.