Mae rhaglen bounty byg Uniswap sydd newydd ei rhoi ar waith wedi bod yn llwyddiant ysgubol, gan iddi helpu i ddatgelu ac wedyn datrys bregusrwydd presennol yn ei gontract smart Universal Router.
Rhyddhawyd y ddau gontract smart newydd, Permit2 a Universal Router, yn ôl ym mis Tachwedd 2022. Trwy rannu a rheoli cymeradwyaeth tocyn, mae contract smart Permit2 yn rhoi mynediad i amrywiaeth o alluoedd awdurdodi diogel i geisiadau. Ar y llaw arall, mae Universal Router yn llunio trafodion ERC-20 a NFT yn un llwybrydd cyfnewid, gan roi dull mwy effeithlon i Uniswap ar gyfer cyfnewid rhwng gwahanol fathau o arian cyfred digidol.
Gyda chyflwyniad y contractau smart newydd hyn, cyhoeddodd Uniswap hefyd raglen bounty byg a fyddai'n helpu'r platfform i ganfod unrhyw wendidau posibl. Wrth i'r farchnad arian digidol a blockchain barhau i esblygu, mae bounties bygiau wedi dod yn ffordd i gwmnïau sicrhau bod eu meddalwedd, systemau a seilwaith hanfodol yn ddiogel.
Roedd cwmni archwilio diogelwch DeFi, Dedaub, ymhlith y cyntaf i dderbyn gwobr sylweddol am eu gwaith ar nodi bregusrwydd ar gontract smart Universal Router. Tynnwyd sylw at y bregusrwydd fel un oedd â'r gallu i ganiatáu ailfynediad yn ystod amser cadarnhau trafodiad, y gellid ei ecsbloetio gan weithredwyr bygythiad i ddraenio arian waled wedyn.
Mae tîm Dedaub wedi datgelu bregusrwydd Critigol i dîm Uniswap!
Mae arian yn ddiogel - aeth Uniswap i'r afael â'r mater ac adleoli contractau smart Universal Router ar ei holl gadwyni 👏
Mae'r bregusrwydd yn caniatáu ail-fenter i ddraenio arian y defnyddiwr, mid-tx.
— Dedaub (@dedaub) Ionawr 2, 2023
Mae Dedaub yn esbonio bod y Llwybrydd Cyffredinol yn rhoi cyfle i ddefnyddwyr wneud nifer o drafodion ar unwaith, megis cyfnewid tocynnau lluosog a NFTs ar yr un pryd. Mae iaith sgriptio integredig y llwybrydd yn gallu cynnal amrywiaeth eang o weithgareddau tocyn gan gynnwys trosglwyddiadau i dalwyr allanol. O'i wneud yn gywir gam wrth gam, byddai'r cronfeydd hyn yn cael eu darparu ar unwaith pe bai'r trafodiad yn bodloni'r meini prawf a osodwyd gan baramedrau'r contract smart.
Yn ôl dyluniad, mae hyn yn golygu y gallai cod trydydd rhan, o'i ddefnyddio yn ystod y trosglwyddiad, ganiatáu i'r cod fynd yn ôl i mewn i'r Llwybrydd Cyffredinol a rheoli neu dynnu tocynnau sydd ar y contract smart am gyfnod dros dro. Ysgogodd hyn y Dedaub whitehats i roi gwybod i Uniswap am benderfyniad, a oedd yn cynnwys clytio'r contract smart gyda chlo dychwelyd ar gyfer modiwl gweithredu craidd Universal Router.
Yna dyfarnodd Uniswap $40,000 yn gyflym i dîm Dedaub am eu datgeliad prydlon. Yn ôl Uniswap, difrifoldeb lefel ganolig oedd y broblem, tra bod asesiad pellach o'r bregusrwydd yn tynnu sylw at senario siawns isel, effaith uchel. Mae Dedaub yn cadarnhau y gellir ystyried y fector ymosodiad fel gwall diwedd defnyddiwr, oherwydd ni fyddai'r senario ond yn digwydd os yw defnyddiwr yn anfon NFTs yn uniongyrchol at dderbynnydd nad yw'n ymddiried ynddo.
Ymwadiad: Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability