Протокол децентрализованного финансирования (DeFi) Uniswap (UNI) упустил потенциальную катастрофу: фирма Dedaub, занимающаяся безопасностью блокчейна, обнаружила критический недостаток в одной из недавно внедренных в протокол функций, который с тех пор был исправлен.
Потенциальная катастрофа предотвращена в Uniswap
Dedaub, компания, специализирующаяся на безопасности блокчейна, обнаружила критический недостаток в смарт-контракте децентрализованной биржи (DEX) Uniswap (UNI).
Изъян был обнаружен в Universal Router, функции, внедренной в ноябре прошлого года компанией Uniswap, которая позволяет пользователям протокола обмениваться НФТ и токенами в рамках одной транзакции.
Команда Dedaub раскрыла команде Uniswap критическую уязвимость!
Средства в безопасности — Uniswap решила проблему и развернула смарт-контракты Universal Router на всех своих цепочках .
Уязвимость позволяет повторному проникновению в систему выкачивать средства пользователя, mid-tx.
— Dedaub (@dedaub) 2 января 2023
По словам Дедауба, код для функции универсального маршрутизатора не включал функцию «блокировки», чтобы предотвратить работу кода злоумышленника третьей стороной во время транзакции, обрабатываемой на Uniswap.
Таким образом, без этой меры безопасности опытный хакер мог бы перехватить активы, передаваемые в течение определенного периода времени в соответствующем смарт-контракте. Однако, по словам Дедауба, это коснулось только активов, заблокированных в смарт-контракте.
Поскольку о недостатке было сообщено как можно скорее командами Dedaub, команды Uniswap мгновенно исправили эту непреднамеренную ошибку и вознаградили фирму по безопасности блокчейна баунти в размере 40 000 USDC.
Uniswap первоначально классифицировал ошибку как «среднюю», поскольку она требовала от пользователя совершить транзакцию, включающую как токены, так и хотя бы один NFT, незнакомому или ненадежному человеку, что действительно кажется маловероятным.
Вознаграждения такого рода сегодня являются обычным явлением в криптовалютной экосистеме, независимо от того, децентрализованные это проекты или нет. При этом она позволяет различным инфраструктурам оптимизировать свою безопасность, хотя они используют аудиторские фирмы, чего не всегда достаточно.
