Uniswap's nieuw geïmplementeerde bug bounty-programma is een daverend succes geweest, omdat het hielp bij het opsporen en vervolgens oplossen van een bestaande kwetsbaarheid in zijn Universal Router smart contract.
De twee nieuwe slimme contracten, Permit2 en Universal Router, zijn in november 2022 uitgebracht. Door tokengoedkeuring te delen en te beheren, verleent het slimme Permit2-contract applicaties toegang tot een reeks veilige autorisatiemogelijkheden. Aan de andere kant compileert Universal Router ERC-20- en NFT-transacties in een enkele swap-router, waardoor Uniswap een efficiëntere methode heeft voor het uitwisselen tussen verschillende soorten cryptocurrency.
Met de introductie van deze nieuwe slimme contracten kondigde Uniswap ook een bug bounty-programma aan dat het platform zou helpen mogelijke kwetsbaarheden te detecteren. Naarmate de markt voor digitale valuta en blockchain blijft evolueren, zijn bugpremies een manier geworden voor bedrijven om ervoor te zorgen dat hun software, systemen en kritieke infrastructuur veilig zijn.
DeFi-beveiligingsauditbedrijf Dedaub was een van de eersten die een flinke onderscheiding ontving voor hun werk aan het identificeren van een kwetsbaarheid in het slimme contract van Universal Router. De kwetsbaarheid werd gemarkeerd als de mogelijkheid om herintreding mogelijk te maken tijdens de bevestigingstijd van een transactie, die door bedreigingsactoren zou kunnen worden uitgebuit om vervolgens het geld van een portemonnee af te voeren.
Het Dedaub-team heeft een kritieke kwetsbaarheid bekendgemaakt aan het Uniswap-team!
Fondsen zijn veilig - Uniswap heeft het probleem aangepakt en de slimme contracten van de Universal Router opnieuw geïmplementeerd in al zijn ketens 👏
Door de kwetsbaarheid kan herintreding het geld van de gebruiker leegmaken, mid-tx.
— Dedaub (@dedaub) 2 januari 2023
Dedaub legt uit dat de Universal Router gebruikers de mogelijkheid biedt om meerdere transacties tegelijk te doen, zoals het in één keer uitwisselen van meerdere tokens en NFT's. De geïntegreerde scripttaal van de router is in staat tot een breed scala aan tokenactiviteiten, waaronder overdrachten naar externe begunstigden. Als dit stap voor stap correct wordt gedaan, worden deze fondsen meteen geleverd als de transactie voldoet aan de criteria die zijn vastgesteld door de parameters van het slimme contract.
Door het ontwerp betekent dit dat een code van een derde deel, wanneer deze wordt aangeroepen tijdens de overdracht, ervoor kan zorgen dat de code opnieuw de Universal Router binnengaat en tokens beheert of ophaalt die voor een tijdelijke periode op het slimme contract staan. Dit was voor de whitehats van Dedaub aanleiding om Uniswap te adviseren over een oplossing, waarbij het slimme contract werd gepatcht met een herintredingsslot voor de kernuitvoeringsmodule van Universal Router.
Uniswap kende vervolgens snel $ 40,000 toe aan het Dedaub-team voor hun snelle onthulling. Volgens Uniswap was het probleem van gemiddelde ernst, terwijl verdere beoordeling van de kwetsbaarheid wees op een scenario met weinig kans en grote impact. Dedaub bevestigt dat de aanvalsvector kan worden beschouwd als een gebruikersfout, omdat het scenario alleen zou plaatsvinden als een gebruiker rechtstreeks NFT's naar een niet-vertrouwde ontvanger stuurt.
Disclaimer: dit artikel is alleen bedoeld voor informatieve doeleinden. Het wordt niet aangeboden en is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability