Протоколът за децентрализирано финансиране (DeFi) на Uniswap (UNI) пропусна потенциална катастрофа: фирмата за сигурност на блокчейн Dedaub откри критичен недостатък в една от последните функции, въведени в протокола, който оттогава е поправен.
Потенциална катастрофа предотвратена в Uniswap
Dedaub, компания, специализирана в сигурността на блокчейн, откри критичен недостатък в интелигентен договор на децентрализираната борса (DEX) Uniswap (UNI).
Недостатъкът е открит в универсалния маршрутизатор – функция, внедрена през ноември миналата година от Uniswap, която позволява на потребителите на протокола да разменят NFT и токени в рамките на една транзакция.
Екипът на Dedaub е разкрил критична уязвимост пред екипа на Uniswap!
Средствата са в безопасност – Uniswap се справи с проблема и пренасочи интелигентните договори на Universal Router към всички свои вериги
Уязвимостта позволява повторното влизане в системата да източи средствата на потребителя в средата на периода.
– Dedaub (@dedaub) January 2, 2023
Според Дедауб кодът на функцията Universal Router не е включвал функция „заключване“, която да попречи на злонамерена трета страна да управлява код по време на транзакция, обработвана в Uniswap.
Така че без тази мярка за сигурност опитен хакер би могъл да прихване активите, които се прехвърлят за определен период от време в съответния интелигентен договор. Според Дедауб обаче това е засегнало само активите, заключени в интелигентния договор.
Тъй като недостатъкът беше докладван възможно най-скоро от екипите на Dedaub, екипите на Uniswap незабавно коригираха тази неволна грешка и възнаградиха фирмата за сигурност на блокчейн с награда за грешка в размер на 40 000 USDC.
Първоначално Uniswap класифицира грешката като „средна“, тъй като тя изисква от потребителя да извърши трансакция, включваща както токени, така и поне един НФТ, на непознат или ненадежден човек, което изглежда наистина малко вероятно.
Подобни награди вече са нещо обичайно в екосистемата на криптовалутите, независимо дали става въпрос за децентрализирани проекти или не. По този начин тя позволява на различните инфраструктури да оптимизират сигурността си, въпреки че използват одиторски фирми, което не винаги е достатъчно.