أدى برنامج مكافأة الأخطاء الذي أطلقه Uniswap مؤخرًا إلى اكتشاف ثغرة أمنية تم إصلاحها الآن في العقد الذكي الخاص بالبروتوكول Universal Router.
صانع السوق الآلي صدر عقدان ذكيان جديدان لمنصته في نوفمبر 2022. يسمح Permit2 بمشاركة موافقات الرمز المميز وإدارتها عبر تطبيقات مختلفة ، في حين يوحد Universal Router ERC-20 والرموز غير القابلة للتلف (NFTs) في جهاز توجيه مبادلة واحد.
أعلنت Uniswap أيضًا عن برنامج مكافأة الأخطاء المربح لتحديد نقاط الضعف المحتملة في عقودها الذكية في نهاية عام 2022 حيث كانت تتطلع إلى ضمان سلامة وفعالية بروتوكولها.
أعلنت شركة Dedaub لأمن العقود الذكية والتدقيق أنها تلقت مكافأة خطأ بعد وضع علامة على ثغرة أمنية في العقد الذكي Universal Router والتي كانت ستسمح بإعادة الدخول لاستنزاف أموال المستخدم في منتصف المعاملة.
كشف فريق Dedaub عن ثغرة أمنية حرجة لفريق Uniswap!
الأموال آمنة - عالج Uniswap المشكلة وأعاد نشر عقود Universal Router الذكية على جميع سلاسله
الثغرة تسمح بإعادة الدخول لاستنزاف أموال المستخدم ، mid-tx.
- ديدوب (ديدوب) ٣ فبراير ٢٠٢٤
وفقًا لتفصيل Dedaub ، يسمح Universal Router للمستخدمين بأداء إجراءات متنوعة بما في ذلك تبديل الرموز المتعددة و NFTs في معاملة واحدة.
يقوم جهاز التوجيه بتضمين لغة برمجة لمجموعة متنوعة من إجراءات الرمز المميز ، والتي يمكن أن تتضمن عمليات النقل إلى مستلمين من جهات خارجية. إذا تم تنفيذ عمليات النقل بشكل صحيح ، فستنتقل إلى المستلم ضمن معلمات محددة.
هذا الموضوع ذو علاقة بـ: تقول Immunefi إنها سهلت 66 مليون دولار من مكافآت الحشرات منذ إنشائها
ومع ذلك ، حدد Dedaub ثغرة أمنية تم فيها استدعاء رمز جهة خارجية أثناء النقل ، مما يسمح للكود بإعادة الدخول إلى جهاز التوجيه العالمي والمطالبة بأي رموز كانت موجودة مؤقتًا في العقد.
اقترح ديدوب بعد ذلك علاجًا مباشرًا ، حيث نصح فريق Uniswap بإضافة قفل عودة إلى التنفيذ الأساسي لجهاز التوجيه الجديد. منحت Uniswap شركة التدقيق مبلغًا إجماليًا قدره 40,000 دولار للإبلاغ عن الثغرة الأمنية. تضمن المبلغ مكافأة بنسبة 33٪ للإبلاغ عن المشكلة خلال فترة مكافأة Uniswap في نوفمبر 2022.
صنفت Uniswap المشكلة على أنها متوسطة الخطورة ، بينما اعتبر التقييم الإضافي أن الضعف له تأثير كبير واحتمالية منخفضة. وفقًا لـ Dedaub ، فإن إمكانية قيام المستخدم بإرسال NFT إلى مستلم غير موثوق به مباشرة يعتبر خطأ مستخدم.
تم اعتبار السيناريوهات الأكثر تعقيدًا والأقل احتمالية صالحة لإعادة الدخول ، مما أدى إلى اعتبار Uniswap أن الناقل له احتمالية منخفضة. تواصلت Cointelegraph مع Uniswap للتأكد من مزيد من التفاصيل عن برنامج المكافأة المستمر والمبالغ المدفوعة وعدد الأخطاء التي تم تحديدها حتى الآن.
أصبحت مكافآت الأخطاء أمرًا شائعًا في مجال العملات المشفرة و blockchain حيث تتطلع المنصات والشركات إلى ضمان أمن برامجها وأنظمتها وبنيتها التحتية.
تبادل العملات المشفرة Coinbase مؤخرًا أوضحت شروط مكافأة الأخطاء، في حين أن شركة أمن blockchain Immunefi لديها يسرت أكثر من 65 مليون دولار قيمة مكافآت الأخطاء بين المتسللين الأخلاقيين وشركات Web3 في عام 2022.
المصدر: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability