ტექნიკური

UniSwap Universal Router იყო დაუცველი ხელახალი შესვლის შეტევების მიმართ

01/04/2023
Bitcoin Ethereum News

Dedaub-ის გუნდმა ახლახან გამოავლინა დაუცველობა UniSwap კონტრაქტებზე, რამაც შეიძლება საფრთხე შეუქმნას ზოგიერთ მომხმარებელს.

UniSwap დაუცველობა

ბოლო ტვიტერში დედაუბმა გაამჟღავნა, რომ მათ აღმოაჩინეს ხარვეზი UniSwap კონტრაქტებზე და აცნობეს მათ დაუცველობის შესახებ. როდესაც გამოხმაურება მიიღეს, "UniSwap-მა განიხილა საკითხი და ხელახლა განათავსა უნივერსალური როუტერის ჭკვიანი კონტრაქტები მის ყველა ჯაჭვზე."

Image

მისი თქმით, დედაუბის ტვიტი, ამ დაუცველობამ გზა გაუხსნა ხელახლა შესვლის თავდასხმებს, რაც მომხმარებელთა სახსრებს დაცლიდა. Dedaub-ის გუნდმა განმარტა, თუ როგორ გამოიყენებდა თავდამსხმელი/ები ამ დაუცველობას.

ამ დაუცველობის დაბადება იწყება ნოემბრიდან, როდესაც UniSwap-მა წარმოადგინა თავისი უნივერსალური როუტერი. ეს როუტერი აერთიანებს NFT და ERC-20 შეცვლას ერთ სვოპ როუტერზე. მიზანი იყო დახმარებოდა მომხმარებლებს მრავალი მოქმედების შესრულებაში, როგორიცაა მრავალი NFT-ის და ტოკენის შეცვლა ერთ ტრანზაქციაში. 

სწორად გამოყენების შემთხვევაში, უნივერსალური როუტერის ბრძანებები გადასცემს მითითებულ თანხას მითითებულ მიმღებს. თუმცა, თუ გადაცემის დროს გამოიძახება მესამე მხარის კოდი, მას შეუძლია ხელახლა შეიყვანოს როუტერში და მოითხოვოს ტოკენები კონტრაქტში. ეს ძირითადად იმიტომ ხდება, რომ უნივერსალური როუტერი ინახავდა ბალანსს ტრანზაქციებს შორის. 

Dedaub-ის გუნდმა თავის კონცეფციაში აღნიშნა, რომ თავდამსხმელს შეეძლო დაემატებინა SWEEP ბრძანება ყველა ტოკენისთვის, რომელიც დარჩენილია საწყისი თანხების გაგზავნის შემდეგ. როგორც ტრანზაქციის ნაწილი, მიმღებს შეეძლო მთელი თანხის სწრაფად გადინება.

Uniswap-ის გუნდი სწრაფად მოქმედებდა

დედაუბის გუნდმა მყისიერად აცნობა UniSwap-ის გუნდს ასეთი შეტევის შესაძლებლობის შესახებ. მათ ურჩიეს Uniswap-ის გუნდს, განთავსებამდე ჩაეყენებინათ ხელახალი საკეტი ახალ როუტერში. 

Uniswap-მა მყისიერად მოაგვარა ეს საკითხი, მოახდინა საჭირო კორექტივები ხელშეკრულების დადებამდე. Uniswap-მა დედაუბი დააჯილდოვა დააგროვეთ 40 ათასი აშშ დოლარის ბონუტი, რათა აჩვენონ თავიანთი ერთგულება ინდივიდუალური უსაფრთხოების მიმართ. თუმცა, Uniswap-ის გუნდმა შეაფასა პრობლემა, როგორც მაღალი ზემოქმედების, მაგრამ დაბალი ალბათობის მოვლენა. აქედან გამომდინარე, ეს შეიძლება მოხდეს ძალიან რთულ სცენარებში.

ის DEX პროტოკოლი UniSwap ზოგადად იცნობს ხელახალი შესვლის შეტევებს. 2020 წელს გავრცელდა ინფორმაცია, რომ DEX-მა Lendf.me-თან ერთად 25 მილიონი დოლარი დაკარგა ხელახლა შესვლის მარტივი შეტევის შედეგად. ქსელმა ასევე განიცადა სხვა შეტევები, როგორიცაა ჰაკინგი. 2022 წლის ივლისში ჰაკერებმა 8 მილიონი დოლარი დააკავეს ETH ფიშინგის შეტევის გამოყენებით.


გამოგვყევით Google News-ზე

წყარო: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/