Het Uniswap (UNI) gedecentraliseerde financiële (DeFi) protocol heeft een potentiële ramp gemist: blockchain beveiligingsbedrijf Dedaub vond een kritieke fout in een van de recente functies die op het protocol zijn geïmplementeerd die inmiddels is verholpen.
Potentiële ramp afgewend bij Uniswap
Dedaub, een bedrijf gespecialiseerd in blockchainbeveiliging, heeft een kritieke fout gevonden in een smart contract van de gedecentraliseerde exchange (DEX) Uniswap (UNI).
Het lek zat in de Universal Router, een functie die Uniswap afgelopen november heeft geïmplementeerd en waarmee gebruikers van het protocol in één transactie NFT’s en tokens kunnen ruilen.
Het Dedaub team heeft een kritieke kwetsbaarheid onthuld aan het Uniswap team!
Gelden zijn veilig – Uniswap heeft het probleem aangepakt en de Universal Router smart contracts opnieuw ingezet op al zijn ketens
De kwetsbaarheid laat herintreders toe om het geld van de gebruiker af te tappen, mid-tx.
– Dedaub (@dedaub) Januari 2, 2023
Volgens Dedaub bevatte de code voor de Universal Router-functie geen “lock”-functie om te voorkomen dat een kwaadwillende derde partij code kon uitvoeren tijdens een transactie die op Uniswap werd verwerkt.
Dus, zonder deze veiligheidsmaatregel had een ervaren hacker de overdracht van activa gedurende een periode in het betreffende slimme contract kunnen onderscheppen. Volgens Dedaub had dit echter alleen gevolgen voor de activa die in het slimme contract waren vergrendeld.
Omdat de fout zo snel mogelijk werd gemeld door de teams van Dedaub, hebben de teams van Uniswap deze onbedoelde fout onmiddellijk gecorrigeerd en het blockchainbeveiligingsbedrijf beloond met een bug bounty van 40.000 USDC.
Uniswap had de fout aanvankelijk geclassificeerd als “gemiddeld”, in die zin dat een gebruiker een transactie met zowel tokens als ten minste één NFT moest uitvoeren aan een vreemde of onbetrouwbare persoon, wat inderdaad onwaarschijnlijk lijkt.
Dit soort beloningen zijn nu gemeengoed binnen het cryptocurrency ecosysteem, of het nu gaat om gedecentraliseerde projecten of niet. Op die manier kunnen de verschillende infrastructuren hun beveiliging optimaliseren, ook al maken ze gebruik van accountantskantoren, wat niet altijd voldoende is.