Недавно запущенная программа Uniswap по поиску ошибок привела к обнаружению уже исправленной уязвимости смарт-контракта универсального маршрутизатора протокола.
Автоматизированный маркет-мейкер выпустил два новых смарт-контракта для своей платформы в ноябре 2022 года. Permit2 позволяет совместно использовать утверждения токенов и управлять ими между различными приложениями, в то время как Universal Router объединяет обмен ERC-20 и невзаимозаменяемые токены (NFT) в единый маршрутизатор обмена.
Uniswap также рекламировала выгодную программу вознаграждения за обнаружение ошибок для выявления потенциальных уязвимостей в своих смарт-контрактах к концу 2022 года, поскольку она стремилась обеспечить безопасность и эффективность своего протокола.
Фирма Dedaub, занимающаяся безопасностью и аудитом смарт-контрактов, объявила, что получила вознаграждение за обнаружение ошибки после того, как обнаружила уязвимость в смарт-контракте Universal Router, которая позволяла бы повторно входить в систему, чтобы истощать средства пользователей в середине транзакции.
https://platform.twitter.com/widgets.js
Согласно анализу Dedaub, универсальный маршрутизатор позволяет пользователям выполнять различные действия, включая обмен несколькими токенами и NFT за одну транзакцию.
В маршрутизатор встроен язык сценариев для широкого спектра действий с токенами, которые могут включать передачу сторонним получателям. При правильной реализации переводы будут доходить до получателя в рамках заданных параметров.
Связанный: Immunefi заявляет, что с момента создания он помог получить 66 миллионов долларов в виде вознаграждений за ошибки
Тем не менее, Dedaub обнаружил уязвимость, из-за которой во время передачи вызывался сторонний код, что позволяло коду повторно войти в универсальный маршрутизатор и потребовать любые токены, которые временно были в контракте.
Затем Дедауб предложил прямое решение, посоветовав команде Uniswap добавить блокировку повторного входа в ядро нового маршрутизатора. Uniswap наградил аудиторскую фирму в общей сложности 40 000 долларов за обнаружение уязвимости. Сумма включала бонус в размере 33% за сообщение о проблеме в течение бонусного периода Uniswap в ноябре 2022 года.
Uniswap классифицировал проблему как среднюю серьезность, в то время как дальнейшая оценка показала, что уязвимость имеет большое влияние и низкую вероятность. По словам Дедауба, возможность отправки пользователем NFT ненадежному получателю напрямую считалась ошибкой пользователя.
Более сложные и менее вероятные сценарии считались допустимыми для повторного входа, в результате чего Uniswap сочла вектор маловероятным. Коинтелеграф обратился к Uniswap, чтобы уточнить подробности о его текущей программе вознаграждений, выплаченных суммах и количестве ошибок, выявленных на сегодняшний день.
Награды за обнаружение ошибок стали обычным явлением в сфере криптовалют и блокчейн, поскольку платформы и компании стремятся обеспечить безопасность своего программного обеспечения, систем и инфраструктуры.
Криптовалютная биржа Coinbase недавно уточнила условия вознаграждения за обнаружение ошибок, в то время как компания Immunefi, занимающаяся безопасностью блокчейн, организовала вознаграждение за обнаружение ошибок на сумму более 65 миллионов долларов между этическими хакерами и фирмами Web3 в 2022 году.