كان UniSwap Universal Router عرضة لهجمات إعادة الدخول

ولادة هذا الضعف يعود إلى نوفمبر عندما قدمت UniSwap جهاز التوجيه العالمي الخاص بها. يوحد جهاز التوجيه هذا مبادلة NFT و ERC-20 بجهاز توجيه مبادلة واحد. كان الهدف هو مساعدة المستخدمين على تنفيذ إجراءات متعددة مثل تبديل NFTs والرموز المميزة في معاملة واحدة. 

عند استخدامها بشكل صحيح ، سترسل أوامر Universal Router المبلغ المحدد إلى المستلم المحدد. ومع ذلك ، إذا تم استدعاء رمز جهة خارجية أثناء النقل ، فيمكنه إعادة إدخال جهاز التوجيه والمطالبة بالرموز في العقد. ويرجع ذلك أساسًا إلى أن جهاز التوجيه العالمي يحتفظ بأرصدة بين المعاملات. 

في إثبات المفهوم الخاص بهم ، لاحظ فريق Dedaub أن المهاجم يمكنه إضافة أمر SWEEP لجميع الرموز المتبقية بعد إرسال المبالغ الأولية. كجزء من المعاملة ، يمكن للمتلقي استنزاف المبلغ بالكامل بسرعة.

تصرف فريق Uniswap بسرعة

قام فريق Dedaub على الفور بإبلاغ فريق UniSwap بإمكانية حدوث مثل هذا الهجوم. نصحوا فريق Uniswap بتضمين قفل إعادة الدخول في جهاز التوجيه الجديد الخاص بهم قبل النشر. 

تعامل Uniswap مع المشكلة على الفور ، وإجراء التعديلات اللازمة قبل اعتماد العقد. منحت Uniswap جائزة Dedaub فريق مكافأة خطأ بقيمة 40 ألف دولار لإظهار التزامهم بأمن الأفراد. ومع ذلك ، قام فريق Uniswap بتقييم المشكلة على أنها حدث عالي التأثير ولكن احتمالية منخفضة. وبالتالي ، يمكن أن يحدث هذا في سيناريوهات معقدة للغاية.

• بروتوكول DEX UniSwap بشكل عام على دراية بهجمات إعادة الدخول. في عام 2020 ، ظهرت تقارير تفيد بأن DEX ، جنبًا إلى جنب مع Lendf.me ، خسرا 25 مليون دولار في هجوم بسيط لإعادة الدخول. عانت الشبكة أيضًا من هجمات أخرى مثل القرصنة. في يوليو 2022 ، استولى المتسللون على 8 ملايين دولار في ETH باستخدام هجوم التصيد.

تابعنا على أخبار جوجل