تقنية

تم إنقاذ Uniswap من الثغرات الأمنية بواسطة شركة الأمان هذه

01/03/2023
أخبار Bitcoin Ethereum

شركة أمنية ديدوب اكتشف وكشف عن نقطة ضعف حرجة في بورصة Ethereum اللامركزية الشهيرة Uniswap. قام الفريق الذي يقف وراء البروتوكول بإصلاح الخطأ ، وتم إعادة نشر المكونات المتأثرة بنجاح - وإلا فقد يكون المهاجم قد خفف من المعاملات لسرقة أموال المستخدم. 

Uniswap يتجنب الخطر ويصلح الميزات الجديدة

وفقًا لشركة الأمان ، تم تنفيذ الثغرة الأمنية عن غير قصد باستخدام جهاز التوجيه العالمي. يتيح هذا المكون لمستخدمي Uniswap تداول الرموز المميزة ERC-20 والرموز غير القابلة للاستبدال "في جهاز توجيه مبادلة واحد".

بمعنى آخر ، يمكن لمستخدمي Uniswap تحسين عملياتهم وتداول العديد من الرموز المميزة و NFTs في معاملة واحدة ، مما يوفر الوقت والمال. يسمح هذا المكون الجديد للمستخدمين أيضًا بتحويل الأموال إلى جهات خارجية. 

صورة

عندما تكون الثغرة في مكانها ، يمكن للمستخدم إرسال معاملة إلى طرف ثالث ، ويمكن لهذا الأخير الوصول إلى أموال المرسل. وأوضح ديدوب ما يلي:

(...) إذا تم استدعاء رمز جهة خارجية في أي وقت أثناء النقل (والذي يتجلى بسبب تكوين البروتوكولات) ، فيمكن للكود إعادة إدخال UniversalRouter والمطالبة بأي رموز بشكل مؤقت في العقد (...). يحتاج المهاجم أيضًا إلى تنفيذ التعليمات البرمجية لإعادة إدخال جهاز التوجيه (تنفيذ الاستدعاء) واكتساح جميع مبالغ الرموز المميزة. قد يحتوي جهاز التوجيه على أموال في منتصف المعاملة بسبب إجراءات وتحويلات أخرى في مقايضة معقدة.

يحتفظ جهاز التوجيه العالمي بأموال المرسل أثناء اكتمال المعاملة. أثناء حدوث ذلك ، كانت الأموال معرضة للخطر ، ويمكن لجهة فاعلة سيئة استنزافها عن طريق استدعاء أوامر محددة مثل "إرسال" بـ ".TRANSFER" أو. ".مسح."

كان من الممكن أن تكون الثغرة الأمنية قد سمحت لممثل سيء "بإعادة إدخال" معاملة باستخدام هذا الأمر. بمجرد الدخول ، يمكن أن يكون المهاجم قادرًا على "استنزاف المبلغ بالكامل" من محفظة المرسل. 

أضافت الشركة الأمنية ما يلي في "السيناريوهات اللانهائية" حيث كان من الممكن استغلال الثغرة الأمنية:

إذا تم استدعاء رمز غير موثوق به في أي وقت أثناء النقل ، فيمكن للكود إعادة إدخال UniversalRouter والمطالبة بأي رموز مميزة موجودة بالفعل في عقد UniversalRouter. يمكن أن توجد مثل هذه الرموز ، على سبيل المثال ، لأن المستخدم يعتزم لاحقًا شراء NFT ، أو نقل الرموز إلى مستلم ثانٍ ، أو لأن المستخدم يستبدل مبلغًا أكبر من المطلوب وينوي "مسح" الباقي لنفسه في نهاية استدعاء UniversalRouter. ولا يوجد نقص في السيناريوهات التي يمكن فيها استدعاء مستلم غير موثوق به (...).

تمنح Ethereum DEX 3 ملايين دولار في Bug Bounty

في ديسمبر 2022 ، أطلقت Uniswap جهاز التوجيه العالمي كجزء من توافق NFT الجديد. في ذلك الوقت ، أعلنت Uniswap Labs عن برنامج مكافأة بقيمة 3 ملايين دولار. تم منح Dedaub هذا المبلغ لتقرير الخطأ الخاص به حول المكون الجديد.

احتفلت الشركة بالمكافأة وحقيقة أن الفاعل السيئ لم يستغل الضعف أبدًا. بالإضافة إلى ذلك ، كانت شركة الأمن هي "تقرير الخطأ الوحيد الذي تصرفت به Uniswap." 

كان عام 2022 عامًا مزعجًا بالنسبة للأصول المشفرة والمخاطرة ، بينما لعبت قوى الاقتصاد الكلي ضد القطاع الناشئ. واجه المستخدمون عقبات تتجاوز انخفاض الأسعار حيث أخذ المتسللون والأشخاص السيئون المليارات من الصناعة. 

Uniswap UNI UNIUSDT
المصدر: التحليل

معلومات من تدعي شركة التحليلات على السلسلة Chainalysis أن الجهات الفاعلة السيئة قد تلقت أكثر من 26 مليار دولار من العملات المشفرة في الفترة من 2017 إلى 2021 وحدها. يبقى أن نرى ما إذا كان عام 2023 سيمدد أو يخفف هذا الاتجاه. 

Uniswap UNI UNIUSDT
يتحرك سعر UNI بشكل جانبي على الرسم البياني اليومي. مصدر: عرض التداول UNIUSDT

حتى كتابة هذه السطور ، يتداول سعر UNI عند 5.70 دولار مع حركة جانبية على الرسم البياني اليومي. 

المصدر: https://newsbtc.com/news/uniswap/uniswap-saved-vulnerability-security-firm/