บริษัทรักษาความปลอดภัยพบ 'ช่องโหว่ร้ายแรง' ใน Uniswap Smart Contract

บริษัทรักษาความปลอดภัยบล็อคเชน Dedaub ค้นพบ “ช่องโหว่ที่สำคัญ” ในสัญญาอัจฉริยะของ Uniswap ซึ่งได้รับการแก้ไขและปรับใช้ใหม่ตั้งแต่นั้นมา

ในการอัปเดตเมื่อวันที่ 3 มกราคม Dedaub กล่าวว่าได้เปิดเผยช่องโหว่กับสัญญาอัจฉริยะของ Universal Router ที่จะอนุญาตให้กลับเข้ามาใหม่เพื่อระบายเงินทุนของผู้ใช้ในระหว่างการทำธุรกรรม การโจมตีซ้ำเกิดขึ้นเมื่อผู้ไม่ประสงค์ดีสร้างสัญญาอัจฉริยะภายนอกที่มีโค้ดที่เป็นอันตรายเพื่อโต้ตอบและใช้ประโยชน์จากสัญญาอัจฉริยะที่มีช่องโหว่ และขโมยเงินในลักษณะวนซ้ำซ้ำแล้วซ้ำอีก

Universal Router เป็นสัญญาอัจฉริยะที่ค่อนข้างใหม่ แนะนำ โดย Uniswap Labs ในเดือนพฤศจิกายน มันทำงานโดยการจัดกลุ่มการค้า NFT และโทเค็น ERC-20 ให้เป็นเราเตอร์ที่ได้รับการปรับปรุงประสิทธิภาพแก๊ส และช่วยให้ผู้ใช้สลับโทเค็นหลายรายการบน Uniswap และซื้อ NFT ข้ามตลาดในธุรกรรมเดียว

“หากมีการเรียกใช้รหัสที่ไม่น่าเชื่อถือ ณ จุดใด ๆ ในการถ่ายโอน รหัสนั้นสามารถเข้าสู่ UniversalRouter อีกครั้งและรับโทเค็นใด ๆ ที่มีอยู่แล้วในสัญญา UniversalRouter” Yannis Smaragdakis ผู้ก่อตั้ง Dedaub อธิบายใน โพสต์บล็อก.

Dedaub ได้รับค่าหัวจากข้อบกพร่องเป็น USDC มูลค่า 40,000 ดอลลาร์จาก Uniswap หลังจากรายงานข้อบกพร่อง ทีมงาน Uniswap ได้แก้ไขปัญหาและดำเนินการแก้ไขสัญญาแล้ว กล่าวว่า บริษัทรักษาความปลอดภัย

แม้ว่า Dedaub จะอธิบายว่าจุดบกพร่องนั้นร้ายแรง แต่ Uniswap จัด มันเป็นปัญหา “ความรุนแรงปานกลาง” ในข้อความที่ส่งถึงบริษัทรักษาความปลอดภัย ในขณะที่เขียนบทความนี้ ทีมงาน Uniswap ยังไม่ได้ออกแถลงการณ์ใด ๆ ของตนเองบนแพลตฟอร์มสาธารณะเพื่อแก้ไขข้อผิดพลาด