Uniswap-ის ახლად დანერგილი bug bounty პროგრამა იყო მღელვარე წარმატება, რადგან მან ხელი შეუწყო არსებული დაუცველობის აღმოჩენას და შემდგომში გადაჭრას მის უნივერსალური როუტერის სმარტ კონტრაქტში.
ორი ახალი ჭკვიანი კონტრაქტი, Permit2 და Universal Router, გამოვიდა ჯერ კიდევ 2022 წლის ნოემბერში. სიმბოლური დამტკიცების გაზიარებისა და მენეჯმენტის მეშვეობით, Permit2 ჭკვიანი კონტრაქტი ანიჭებს აპლიკაციებს წვდომას უსაფრთხო ავტორიზაციის შესაძლებლობებზე. მეორეს მხრივ, Universal Router აგროვებს ERC-20 და NFT ტრანზაქციებს ერთ სვოპ როუტერში, რაც Uniswap-ს აძლევს უფრო ეფექტურ მეთოდს სხვადასხვა ტიპის კრიპტოვალუტებს შორის გაცვლისთვის.
ამ ახალი ჭკვიანი კონტრაქტების დანერგვით, Uniswap-მა ასევე გამოაცხადა bug bounty პროგრამა, რომელიც დაეხმარება პლატფორმას აღმოაჩინოს ნებისმიერი პოტენციური დაუცველობა. რადგან ციფრული ვალუტისა და ბლოკჩეინის ბაზარი აგრძელებს განვითარებას, შეცდომების ბონუსები გახდა საშუალება ფირმებისთვის, რათა უზრუნველყონ მათი პროგრამული უზრუნველყოფის, სისტემების და კრიტიკული ინფრასტრუქტურის უსაფრთხოება.
DeFi უსაფრთხოების აუდიტორული ფირმა Dedaub იყო ერთ-ერთი პირველი, ვინც მიიღო მნიშვნელოვანი ჯილდო უნივერსალური როუტერის სმარტ კონტრაქტზე დაუცველობის იდენტიფიცირებისთვის მუშაობისთვის. მოწყვლადობა მონიშნული იყო, როგორც ტრანზაქციის დადასტურების დროს ხელახლა შესვლის ნებართვის უნარი, რომელიც შეიძლება გამოიყენონ საფრთხის მოქმედ პირებმა საფულის სახსრების დასახარჯად.
Dedaub-ის გუნდმა გამოავლინა კრიტიკული დაუცველობა Uniswap-ის გუნდს!
თანხები უსაფრთხოა – Uniswap-მა მოაგვარა საკითხი და ხელახლა განათავსა უნივერსალური როუტერის ჭკვიანი კონტრაქტები მის ყველა ჯაჭვზე 👏
დაუცველობა საშუალებას აძლევს ხელახლა შესვლას მომხმარებლის სახსრების დახარჯვა, საშუალო ტემპი.
— დედაუბი (@dedaub) იანვარი 2, 2023
Dedaub განმარტავს, რომ უნივერსალური როუტერი მომხმარებლებს აძლევს შესაძლებლობას განახორციელონ მრავალი ტრანზაქცია ერთდროულად, როგორიცაა მრავალი ტოკენისა და NFT-ის გაცვლა ერთჯერადად. როუტერის ინტეგრირებულ სკრიპტირების ენას შეუძლია განახორციელოს სიმბოლური აქტივობების ფართო სპექტრი, მათ შორის გადარიცხვები გარე გადამხდელებზე. ეტაპობრივად სწორად გაკეთების შემთხვევაში, ეს თანხები დაუყოვნებლივ გადაიცემა, თუ ტრანზაქცია დააკმაყოფილებს ჭკვიანი კონტრაქტის პარამეტრებით დადგენილ კრიტერიუმებს.
დიზაინის მიხედვით, ეს ნიშნავს, რომ მესამე ნაწილის კოდი, გადაცემის დროს გამოძახებისას, საშუალებას აძლევს კოდს ხელახლა შევიდეს უნივერსალურ როუტერში და მართოს ან გამოიყვანოს ჟეტონები, რომლებიც სმარტ კონტრაქტშია დროებითი პერიოდის განმავლობაში. ამან აიძულა Dedaub whitehats-ს ურჩია Uniswap-ის რეზოლუცია, რომელიც მოიცავდა სმარტ კონტრაქტის დაყენებას უნივერსალური როუტერის ძირითადი შესრულების მოდულისთვის ხელახლა შესვლის საკეტით.
შემდეგ Uniswap-მა სწრაფად დააჯილდოვა $40,000 Dedaub-ის გუნდს მათი სწრაფი გამჟღავნებისთვის. Uniswap-ის თანახმად, საკითხი საშუალო დონის იყო, ხოლო დაუცველობის შემდგომი შეფასება მიუთითებს დაბალი შანსების, მაღალი ზემოქმედების სცენარზე. Dedaub ადასტურებს, რომ თავდასხმის ვექტორი შეიძლება ჩაითვალოს მომხმარებლის ბოლოს შეცდომად, რადგან სცენარი მოხდება მხოლოდ იმ შემთხვევაში, თუ მომხმარებელი პირდაპირ გაუგზავნის NFT-ებს არასანდო მიმღებს.
უარი პასუხისმგებლობაზე: ეს სტატია მოწოდებულია მხოლოდ ინფორმაციული მიზნებისთვის. ის არ არის შემოთავაზებული ან მიზნად ისახავს გამოყენებას იურიდიულ, საგადასახადო, საინვესტიციო, ფინანსურ ან სხვა რჩევად.
წყარო: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability