Uniswap-ის ახლახან გაშვებულმა bug bounty პროგრამამ გამოიწვია პროტოკოლის უნივერსალური როუტერის ჭკვიანი კონტრაქტის ახლა დაფიქსირებული დაუცველობის აღმოჩენა.
ავტომატური ბაზრის შემქმნელი გაათავისუფლეს ორი ახალი ჭკვიანი კონტრაქტი თავის პლატფორმაზე 2022 წლის ნოემბერში. Permit2 საშუალებას აძლევს ტოკენის დამტკიცების გაზიარებას და მართვას სხვადასხვა აპლიკაციებში, ხოლო უნივერსალური როუტერი აერთიანებს ERC-20 და არაფუნგირებადი ტოკენების (NFT) შეცვლას ერთ სვოპ როუტერში.
Uniswap-მა ასევე რეკლამირება მოახდინა მომგებიანი ხარვეზების პრემიის პროგრამაზე, რათა გამოავლინოს პოტენციური დაუცველობა მის ჭკვიან კონტრაქტებში 2022 წლის ბოლოს, რადგან იგი ცდილობდა უზრუნველყოს მისი პროტოკოლის უსაფრთხოება და ეფექტურობა.
სმარტ კონტრაქტების უსაფრთხოებისა და აუდიტორული ფირმა Dedaub-მა გამოაცხადა, რომ მან მიიღო ხარვეზის ბონუტი უნივერსალური როუტერის სმარტ კონტრაქტში მოწყვლადობის მონიშვნის შემდეგ, რაც საშუალებას მისცემდა ხელახლა შესვლას დაეხარჯა მომხმარებლის სახსრები ტრანზაქციის შუა პერიოდში.
Dedaub-ის გუნდმა გამოავლინა კრიტიკული დაუცველობა Uniswap-ის გუნდს!
სახსრები უსაფრთხოა – Uniswap–მა მოაგვარა პრობლემა და ხელახლა განათავსა უნივერსალური როუტერის ჭკვიანი კონტრაქტები მის ყველა ჯაჭვზე
დაუცველობა საშუალებას აძლევს ხელახლა შესვლას მომხმარებლის სახსრების დახარჯვა, საშუალო ტემპი.
— დედაუბი (@dedaub) იანვარი 2, 2023
Dedaub-ის ავარიის მიხედვით, უნივერსალური როუტერი მომხმარებლებს საშუალებას აძლევს შეასრულონ სხვადასხვა მოქმედებები, მათ შორის, შეცვალონ მრავალი ტოკენი და NFT ერთ ტრანზაქციაში.
როუტერი ათავსებს სკრიპტირების ენას სიმბოლური მოქმედებების ფართო სპექტრისთვის, რაც შეიძლება მოიცავდეს მესამე მხარის მიმღებებზე გადაცემას. თუ სწორად განხორციელდა, გადარიცხვები მიდის მიმღებზე მითითებული პარამეტრების ფარგლებში.
ამავე თემაზე: Immunefi ამბობს, რომ დაარსების დღიდან მან ხელი შეუწყო 66 მილიონი დოლარის შეცდომებს
თუმცა, დედაუბმა დაადგინა დაუცველობა, რომელშიც მესამე მხარის კოდი იქნა გამოძახებული გადაცემის დროს, რაც საშუალებას აძლევდა კოდს ხელახლა შესულიყო უნივერსალურ როუტერში და მოითხოვა ნებისმიერი ტოკენი, რომელიც დროებით იყო კონტრაქტში.
შემდეგ დედაუბმა შემოგვთავაზა მარტივი საშუალება, ურჩია Uniswap-ის გუნდს დაემატებინა ხელახალი ჩაკეტვა ახალი როუტერის ძირითად შესრულებაზე. Uniswap-მა აუდიტორულ ფირმას დააჯილდოვა სულ $40,000 მოწყვლადობის მონიშვნისთვის. თანხა მოიცავდა 33%-იან ბონუსს საკითხის მოხსენებისთვის Uniswap-ის ბონუს პერიოდში 2022 წლის ნოემბერში.
Uniswap-მა საკითხი კლასიფიცირდა, როგორც საშუალო სიმძიმის, ხოლო შემდგომმა შეფასებამ მიიჩნია, რომ დაუცველობას აქვს მაღალი გავლენა და დაბალი ალბათობა. დედაუბის თქმით, მომხმარებლის შეცდომად მიიჩნეოდა იმის შესაძლებლობა, რომ მომხმარებელმა პირდაპირ გაუგზავნოს NFT არასანდო მიმღებს.
უფრო რთული და ნაკლებად სავარაუდო სცენარები ჩაითვალა ძალაში ხელახლა შესვლისთვის, რის შედეგადაც Uniswap მიიჩნია ვექტორს დაბალი ალბათობით. Cointelegraph-მა დაუკავშირდა Uniswap-ს, რათა დადგინდეს მისი მიმდინარე ბონუტი პროგრამის დამატებითი დეტალები, გადახდილი თანხები და დღემდე გამოვლენილი შეცდომების რაოდენობა.
შეცდომის პრემიები ჩვეულებრივი გახდა კრიპტოვალუტისა და ბლოკჩეინის სივრცეში, რადგან პლატფორმები და კომპანიები ცდილობენ უზრუნველყონ თავიანთი პროგრამული უზრუნველყოფის, სისტემებისა და ინფრასტრუქტურის უსაფრთხოება.
კრიპტოვალუტის ბირჟა Coinbase ახლახან განმარტა მისი bug bounty-ის პირობები, ხოლო ბლოკჩეინის უსაფრთხოების ფირმა Immunefi-ს აქვს ხელი შეუწყო 65 მილიონ დოლარს ეთიკურ ჰაკერებსა და Web3 ფირმებს შორის 2022 წელს შეცდომის სიკეთე.
წყარო: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability