Dem Dedaub säin Team huet viru kuerzem eng Schwachstelle op UniSwap Kontrakter verroden, déi e puer Benotzer a Gefor kéinte bréngen.
D'UniSwap Schwachstelle
An engem rezenten Tweet huet Dedaub verroden datt si e Feeler op UniSwap Kontrakter entdeckt hunn an hinnen iwwer d'Schwachheet informéiert hunn. Wéi de Feedback kritt gouf, "UniSwap huet d'Thema adresséiert an den Universal Router Smart Kontrakter op all seng Ketten nei ofgebaut."
Laut der Tweet vum Dedaub, Dës Schwachstelle huet de Wee fir Re-Entrancy Attacken erstallt, déi d'Fongen vun de Benotzer drainéieren. D'Dedaub-Team huet erkläert wéi en Ugräifer/en dës Schwachstelle benotze géifen.
D'Gebuert vun dëser Schwachstelle staamt zréck op November wann UniSwap huet säin Universal Router agefouert. Dëse Router vereenegt NFT an ERC-20 Tauschen op en eenzegen Swap Router. D'Zil war d'Benotzer ze hëllefen verschidde Handlungen auszeféieren wéi verschidde NFTs an Tokens an enger Transaktioun auszetauschen.
Wann se richteg benotzt ginn, schécken d'Universal Router Kommandoen de spezifizéierte Betrag un de spezifizéierte Empfänger. Wéi och ëmmer, wann en Drëtt-Partei-Code wärend dem Transfert genannt gëtt, kann et de Router erëm aginn an Tokens am Kontrakt ufroen. Dëst ass haaptsächlech well den Universal Router Gläichgewiicht tëscht Transaktiounen ofgehalen huet.
An hirem Proof-of-Concept huet d'Dedaub-Team festgestallt datt den Ugräifer e SWEEP-Kommando fir all Tokens, déi bleiwen nodeems déi initial Betrag geschéckt ginn, bäigefüügt hunn. Als Deel vun der Transaktioun konnt den Empfänger séier de ganze Betrag erofhuelen.
D'Equipe vun Uniswap huet séier gehandelt
Dem Dedaub seng Equipe huet d'UniSwap Team direkt iwwer d'Méiglechkeet vun esou engem Attack informéiert. Si hunn dem Uniswap Team ugeroden e Reentrancy-Schloss an hirem neie Router z'integréieren ier se ofgesat ginn.
Uniswap huet d'Thema direkt behandelt, déi néideg Upassunge gemaach ier Dir de Kontrakt adoptéiert. Uniswap huet den Dedaub ausgezeechent Team eng $ 40 Tausend Bug Bounty fir hiren Engagement fir d'Sécherheet vun Individuen ze weisen. Wéi och ëmmer, d'Uniswap Team bewäert de Problem als en héich Impakt awer niddereg Wahrscheinlechkeet Event. Dofir kann dëst a ganz komplexe Szenarie geschéien.
d' DEX Protokoll UniSwap ass allgemeng vertraut mat Re-Entrée Attacken. Am Joer 2020 sinn Berichter opgetaucht datt d'DEX, zesumme mat Lendf.me, $ 25 Milliounen an engem einfache Re-Entrance Attack verluer hunn. D'Netzwierk huet och aner Attacke wéi Hacking gelidden. Am Juli 2022 hunn Hacker 8 Milliounen Dollar erageholl ETH mat engem Phishing-Attack.
Quell: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/