区块链安全公司 Dedaub 在 Uniswap 智能合约中发现了一个“严重漏洞”,该漏洞已得到解决并重新部署。
在 3 月 XNUMX 日的更新中,Dedaub 表示它已经披露了 Universal Router 智能合约的一个漏洞,该漏洞允许重新进入以在交易过程中耗尽用户资金。 当不良行为者使用恶意代码创建外部智能合约以与易受攻击的智能合约交互并利用它并以循环方式一遍又一遍地窃取资金时,就会发生重入攻击。
Dedaub 团队向 Uniswap 团队披露了一个严重漏洞!
资金是安全的——Uniswap 解决了这个问题并在其所有链上重新部署了 Universal Router 智能合约👏
该漏洞允许重新进入以耗尽用户的资金,mid-tx。
— 德道布 (@dedaub) 2023 年 1 月 2 日
Universal Router 是一个相当新的智能合约 介绍 由 Uniswap 实验室于 20 月发布。 它的功能是将 NFT 交易和 ERC-XNUMX 代币分组到 gas 优化路由器中,并允许用户在 Uniswap 上交换多个代币,并在单笔交易中跨市场购买 NFT。
Dedaub 创始人 Yannis Smaragdakis 在一份报告中解释说:“如果在传输过程中的任何时候调用不受信任的代码,该代码可以重新进入 UniversalRouter 并索取 UniversalRouter 合约中已有的任何代币。” 博客文章.
Dedaub 在报告漏洞后从 Uniswap 获得了价值 40,000 美元的 USDC 漏洞赏金。 Uniswap 团队已经解决了这个问题并对合约实施了修复, 说过 保安公司。
尽管 Dedaub 将该错误描述为严重错误,但 Uniswap 机密 在给安全公司的消息中将其作为“中等严重性”问题。 在撰写本文时,Uniswap 团队尚未在公共平台上发布任何声明来解决该漏洞。
