Protokół zdecentralizowanych finansów (DeFi) Uniswap (UNI) przegapił potencjalną katastrofę: firma Dedaub zajmująca się bezpieczeństwem blockchain znalazła krytyczną wadę w jednej z ostatnich funkcji wdrożonych w protokole, która od tego czasu została naprawiona.
Potencjalna katastrofa zażegnana na Uniswap
Dedaub, firma specjalizująca się w bezpieczeństwie blockchain, znalazła krytyczną wadę w inteligentnym kontrakcie zdecentralizowanej giełdy (DEX) Uniswap (UNI).
Luka została zlokalizowana w Universal Router, funkcji wdrożonej w listopadzie ubiegłego roku przez Uniswap, która pozwala użytkownikom protokołu na wymianę NFT i tokenów w ramach jednej transakcji.
Zespół Dedaub ujawnił krytyczną lukę w systemie Uniswap!
Środki są bezpieczne – Uniswap zaadresował problem i przełożył smart kontrakty Universal Router na wszystkie swoje łańcuchy
Luka umożliwia ponowne wejście na rynek w celu drenażu środków użytkownika, mid-tx.
– Dedaub (@dedaub) 2 stycznia 2023
Według Dedauba kod dla funkcji Uniwersalnego Routera nie zawierał funkcji „blokady”, która uniemożliwiałaby złośliwej stronie trzeciej działanie kodu podczas transakcji przetwarzanej na Uniswap.
Więc bez tego zabezpieczenia doświadczony haker mógłby przechwycić aktywa przekazywane przez pewien okres czasu w danym smart kontrakcie. Według Dedauba dotyczyło to jednak tylko aktywów zablokowanych w smart kontrakcie.
Ponieważ usterka została zgłoszona jak najszybciej przez zespoły Dedauba, zespoły Uniswap natychmiast naprawiły ten niezamierzony błąd i nagrodziły firmę zajmującą się bezpieczeństwem blockchaina bug bounty w wysokości 40 000 USDC.
Uniswap początkowo sklasyfikował błąd jako „średni”, ponieważ wymagał on od użytkownika wykonania transakcji obejmującej zarówno tokeny, jak i co najmniej jeden NFT na rzecz obcej lub niegodnej zaufania osoby, co rzeczywiście wydaje się mało prawdopodobne.
Nagrody tego rodzaju są obecnie powszechne w ekosystemie kryptowalut, niezależnie od tego, czy są to projekty zdecentralizowane, czy nie. W ten sposób pozwala różnym infrastrukturom zoptymalizować swoje bezpieczeństwo, mimo że korzystają z usług firm audytorskich, co nie zawsze jest wystarczające.
