برنامه پاداش باگ Uniswap که اخیراً راه اندازی شده است منجر به کشف یک آسیب پذیری در قرارداد هوشمند روتر جهانی پروتکل شده است.
بازارساز خودکار منتشر شد دو قرارداد هوشمند جدید برای پلتفرم خود در نوامبر 2022. Permit2 اجازه می دهد تا تأییدیه های توکن را در برنامه های مختلف به اشتراک گذاشته و مدیریت کنید، در حالی که روتر جهانی ERC-20 و توکن های غیرقابل تعویض (NFT) را که در یک روتر مبادله واحد تعویض می شوند، متحد می کند.
Uniswap همچنین یک برنامه پاداش باگ سودآور را برای شناسایی آسیبپذیریهای احتمالی در قراردادهای هوشمند خود در پایان سال 2022 تبلیغ کرد زیرا به دنبال اطمینان از ایمنی و کارایی پروتکل خود بود.
شرکت حسابرسی و امنیت قراردادهای هوشمند Dedaub اعلام کرد که پس از علامت گذاری یک آسیب پذیری در قرارداد هوشمند روتر جهانی که به ورود مجدد اجازه می داد وجوه کاربر را در اواسط تراکنش تخلیه کند، جایزه باگ دریافت کرده است.
تیم Dedaub یک آسیب پذیری بحرانی را برای تیم Uniswap فاش کرده است!
وجوه امن هستند – Uniswap به این مشکل رسیدگی کرد و قراردادهای هوشمند روتر جهانی را در تمام زنجیره های خود مجدداً مستقر کرد.
این آسیبپذیری اجازه ورود مجدد به کاربر را میدهد تا وجوه کاربر را در اواسط TX تخلیه کند.
– دداب (@dedaub) 2 ژانویه 2023
با توجه به تفکیک Dedaub، روتر جهانی به کاربران اجازه می دهد تا اقدامات مختلفی از جمله مبادله چندین توکن و NFT را در یک تراکنش انجام دهند.
روتر یک زبان برنامه نویسی را برای طیف گسترده ای از اقدامات نشانه تعبیه می کند، که می تواند شامل انتقال به گیرندگان شخص ثالث باشد. اگر به درستی اجرا شود، انتقال ها در پارامترهای مشخص شده به گیرنده می روند.
مطالب مرتبط: Immunefi می گوید که از زمان آغاز به کار 66 میلیون دلار پاداش باگ را تسهیل کرده است
با این حال، Dedaub آسیبپذیری را شناسایی کرد که در آن یک کد شخص ثالث در حین انتقال فراخوانی میشد و به کد اجازه میداد دوباره وارد روتر جهانی شود و هر توکنی را که به طور موقت در قرارداد وجود داشت، ادعا کند.
Dedaub سپس یک راه حل مستقیم را پیشنهاد کرد و به تیم Uniswap توصیه کرد که یک قفل ورود مجدد به اجرای اصلی روتر جدید اضافه کنند. Uniswap در مجموع 40000 دلار به شرکت حسابرسی برای نشان دادن این آسیب پذیری اعطا کرد. این مبلغ شامل یک پاداش 33 درصدی برای گزارش مشکل در طول دوره جایزه Uniswap در نوامبر 2022 است.
Uniswap این موضوع را به عنوان شدت متوسط طبقهبندی کرد، در حالی که ارزیابی بیشتر آسیبپذیری را دارای تأثیر بالا و احتمال کم دانست. به گفته Dedaub، امکان ارسال NFT توسط کاربر به یک گیرنده غیرقابل اعتماد به طور مستقیم خطای کاربر در نظر گرفته شد.
سناریوهای پیچیدهتر و کمتر محتملتر برای ورود مجدد معتبر در نظر گرفته شدند، که منجر به این شد که Uniswap بردار را دارای احتمال کم در نظر بگیرد.
از آنجایی که پلتفرمها و شرکتها به دنبال تضمین امنیت نرمافزار، سیستمها و زیرساختهای خود هستند، پاداشهای باگ در فضای ارزهای دیجیتال و بلاک چین رایج شده است.
صرافی ارزهای دیجیتال کوین بیس به تازگی در حالی که شرکت امنیتی بلاک چین Immunefi شرایط را برای باگ خود روشن کرده است بیش از 65 میلیون دلار تسهیل کرد ارزش پاداش های باگ بین هکرهای اخلاقی و شرکت های Web3 در سال 2022.
