Uniswap'in yeni uygulamaya koyduğu hata ödül programı, Universal Router akıllı sözleşmesindeki mevcut bir güvenlik açığının ortaya çıkarılmasına ve ardından çözülmesine yardımcı olduğundan büyük bir başarı elde etti.
İki yeni akıllı sözleşme, Permit2 ve Universal Router, Kasım 2022'de piyasaya sürüldü. Permit2 akıllı sözleşmesi, token onay paylaşımı ve yönetimi aracılığıyla uygulamalara bir dizi güvenli yetkilendirme özelliğine erişim sağlar. Öte yandan Evrensel Yönlendirici, ERC-20 ve NFT işlemlerini tek bir takas yönlendiricisinde derleyerek Uniswap'e çeşitli kripto para birimi türleri arasında alışveriş yapmak için daha verimli bir yöntem sağlar.
Bu yeni akıllı sözleşmelerin kullanıma sunulmasıyla birlikte Uniswap, platformun olası güvenlik açıklarını tespit etmesine yardımcı olacak bir hata ödül programını da duyurdu. Dijital para birimi ve blockchain piyasası gelişmeye devam ettikçe hata ödülleri, firmaların yazılımlarının, sistemlerinin ve kritik altyapılarının güvenli olduğundan emin olmalarının bir yolu haline geldi.
DeFi güvenlik denetim şirketi Dedaub, Universal Router akıllı sözleşmesindeki bir güvenlik açığını belirlemeye yönelik çalışmaları nedeniyle yüklü bir ödül alan ilk şirketler arasında yer aldı. Güvenlik açığının, bir işlemin onaylanma süresi boyunca yeniden girişe izin verebileceği ve bu durumun tehdit aktörleri tarafından daha sonra cüzdandaki fonları boşaltmak için kullanılabileceği belirtildi.
Dedaub ekibi, Uniswap ekibine yönelik Kritik bir güvenlik açığını açıkladı!
Fonlar güvende – Uniswap sorunu ele aldı ve Universal Router akıllı sözleşmelerini tüm zincirlerinde yeniden konuşlandırdı 👏
Güvenlik açığı, yeniden girişin kullanıcının fonlarını tx ortasında boşaltmasına izin verir.
— Dedaub (@dedaub) Ocak 2, 2023
Dedaub, Universal Router'ın kullanıcılara tek seferde birden fazla token ve NFT değişimi gibi çok sayıda işlemi aynı anda yapma fırsatı sağladığını açıklıyor. Yönlendiricinin entegre komut dosyası dili, harici alacaklılara transferler de dahil olmak üzere çok çeşitli belirteç etkinliklerini gerçekleştirebilir. Adım adım doğru bir şekilde yapıldığında, işlemin akıllı sözleşmenin parametreleri tarafından belirlenen kriterleri karşılaması durumunda bu fonlar hemen teslim edilecektir.
Tasarım gereği bu, aktarım sırasında çağrıldığında üçüncü parça kodunun, kodun Evrensel Yönlendiriciye yeniden girmesine ve geçici bir süre için akıllı sözleşmedeki belirteçleri yönetmesine veya çekmesine izin verebileceği anlamına gelir. Bu, Dedaub beyaz şapkalılarının Uniswap'e, Universal Router'ın çekirdek yürütme modülü için akıllı sözleşmeye bir yeniden giriş kilidi eklenmesini içeren bir çözüm önermesini sağladı.
Uniswap daha sonra derhal açıklama yapmaları karşılığında Dedaub ekibine 40,000 $ ödül verdi. Uniswap'e göre sorun orta düzeyde ciddiyete sahipken, güvenlik açığının daha ayrıntılı değerlendirilmesi düşük şanslı, yüksek etkili bir senaryoya işaret etti. Dedaub, saldırı vektörünün kullanıcı tarafı hatası olarak değerlendirilebileceğini doğruluyor çünkü senaryo yalnızca bir kullanıcının NFT'leri güvenilmeyen bir alıcıya doğrudan göndermesi durumunda gerçekleşebilir.
Sorumluluk Reddi: Bu makale yalnızca bilgi amaçlı sağlanmıştır. Yasal, vergi, yatırım, mali veya başka bir tavsiye olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability