Uniswap'in yakın zamanda başlattığı hata ödül programı, protokolün Evrensel Yönlendirici akıllı sözleşmesinin artık düzeltilmiş bir güvenlik açığının keşfedilmesine yol açtı.
Otomatik piyasa yapıcı serbest Kasım 2022'de platformuna iki yeni akıllı sözleşme. Permit2, belirteç onaylarının farklı uygulamalar arasında paylaşılmasına ve yönetilmesine olanak tanırken, Universal Router, ERC-20 ile takas edilemez belirteçleri (NFT'ler) tek bir takas yönlendiricisinde birleştiriyor.
Uniswap ayrıca, protokolünün güvenliğini ve etkinliğini sağlamaya çalışırken 2022'nin sonlarına doğru akıllı sözleşmelerindeki potansiyel güvenlik açıklarını belirlemek için kazançlı bir hata ödül programının reklamını yaptı.
Akıllı sözleşme güvenliği ve denetim firması Dedaub, Universal Router akıllı sözleşmesinde yeniden girişin işlemin ortasında kullanıcı fonlarını tüketmesine izin verecek bir güvenlik açığını işaretledikten sonra bir hata ödülü aldığını duyurdu.
Dedaub ekibi, Uniswap ekibine yönelik Kritik bir güvenlik açığını açıkladı!
Fonlar güvende – Uniswap sorunu ele aldı ve Universal Router akıllı sözleşmelerini tüm zincirlerinde yeniden konuşlandırdı
Güvenlik açığı, yeniden girişin kullanıcının fonlarını tx ortasında boşaltmasına izin verir.
— Dedaub (@dedaub) Ocak 2, 2023
Dedaub'un dökümüne göre, Evrensel Yönlendirici, kullanıcıların tek bir işlemde birden fazla belirteci ve NFT'yi değiştirmek de dahil olmak üzere çeşitli eylemler gerçekleştirmesine olanak tanır.
Yönlendirici, üçüncü taraf alıcılara aktarımları içerebilecek çok çeşitli belirteç eylemleri için bir komut dosyası dili yerleştirir. Doğru bir şekilde uygulanırsa, transferler alıcıya belirtilen parametreler dahilinde gider.
İlgili: Immunefi, başlangıcından bu yana böcek ödüllerinde 66 milyon dolarlık kolaylaştırdığını söyledi
Ancak Dedaub, aktarım sırasında bir üçüncü taraf kodunun çağrıldığı ve kodun Evrensel Yönlendiriciye tekrar girmesine ve sözleşmede geçici olarak bulunan tüm belirteçleri talep etmesine izin veren bir güvenlik açığı belirledi.
Daha sonra Dedaub, Uniswap ekibine yeni yönlendiricinin çekirdek uygulamasına bir yeniden giriş kilidi eklemesini tavsiye ederek basit bir çözüm önerdi. Uniswap, güvenlik açığını işaretlediği için denetim firmasına toplam 40,000 $ ödül verdi. Miktar, Uniswap'in Kasım 33'deki bonus döneminde sorunu bildirmeye yönelik %2022'lük bir bonusu içeriyordu.
Uniswap, sorunu orta önem derecesinde sınıflandırırken, daha ileri değerlendirmeler güvenlik açığının yüksek etkiye ve düşük olasılığa sahip olduğunu kabul etti. Dedaub'a göre, bir kullanıcının güvenilmeyen bir alıcıya doğrudan NFT gönderme olasılığı bir kullanıcı hatası olarak değerlendirildi.
Yeniden giriş için daha karmaşık ve daha az olası senaryolar geçerli kabul edildi, bu da Uniswap'in vektörü düşük bir olasılığa sahip olarak kabul etmesine neden oldu. Cointelegraph, devam eden ödül programı, ödenen tutarlar ve bugüne kadar tespit edilen hata sayısı hakkında daha fazla ayrıntı öğrenmek için Uniswap'e ulaştı.
Platformlar ve şirketler yazılımlarının, sistemlerinin ve altyapılarının güvenliğini sağlamaya çalışırken, hata ödülleri kripto para biriminde ve blok zinciri alanında yaygın hale geldi.
Son zamanlarda kripto para borsası Coinbase böcek ödülünün şartlarını netleştirdi, blockchain güvenlik firması Immunefi ise 65 milyon doların üzerinde kolaylaştırıldı 3'de etik bilgisayar korsanları ve Web2022 firmaları arasında değerinde hata ödülleri.
Kaynak: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability