Firma ochroniarska znajduje „krytyczną lukę” w inteligentnym kontrakcie Uniswap

Dedaub, firma zajmująca się bezpieczeństwem Blockchain, znalazła „krytyczną lukę” w inteligentnej umowie Uniswap, którą od tego czasu usunięto i ponownie wdrożono.

W aktualizacji z 3 stycznia Dedaub powiedział, że ujawnił lukę w zabezpieczeniach inteligentnych kontraktów Universal Router, która umożliwiałaby ponowne wejście w celu drenażu środków użytkownika w trakcie transakcji. Atak ponownego wejścia ma miejsce, gdy zły aktor tworzy zewnętrzną inteligentną umowę ze złośliwym kodem w celu interakcji i wykorzystywania wrażliwej inteligentnej umowy oraz kradzieży funduszy w zapętlony sposób.

Uniwersalny router to całkiem nowa inteligentna umowa, która była wprowadzono przez Uniswap Labs w listopadzie. Działa poprzez grupowanie transakcji NFT i tokenów ERC-20 w routerze zoptymalizowanym pod względem gazu i pozwala użytkownikom wymieniać wiele tokenów na Uniswap i kupować NFT na różnych rynkach w ramach jednej transakcji.

„Jeśli w dowolnym momencie transferu zostanie wywołany niezaufany kod, kod może ponownie wejść do UniversalRouter i zażądać wszelkich tokenów już w kontrakcie UniversalRouter”, wyjaśnił założyciel Dedaub, Yannis Smaragdakis, w blogu.

Dedaub otrzymał nagrodę za błąd w wysokości 40,000 XNUMX USD w USDC od Uniswap po zgłoszeniu błędu. Zespół Uniswap zajął się problemem i wdrożył poprawkę do umowy, powiedziany firma ochroniarska.

Chociaż Dedaub opisał błąd jako krytyczny, Uniswap sklasyfikowany jako problem „średniej wagi” w wiadomości do firmy ochroniarskiej. W chwili pisania tego tekstu zespół Uniswap nie wydał żadnych własnych oświadczeń na publicznej platformie dotyczących błędu.