Sécherheet Firma Dedaub entdeckt an huet eng kritesch Schwachstelle op der populärer Ethereum dezentraliséierter Austausch Uniswap bekanntginn. D'Team hannert dem Protokoll huet de Käfer fixéiert, an déi betraff Komponente goufen erfollegräich nei ofgebaut - soss hätt en Ugräifer mat Transaktiounen temperéiert fir e Benotzer seng Fongen ze klauen.
Uniswap vermeit Gefor a fixéiert nei Features
Laut der Sécherheetsfirma gouf d'Schwachheet onbedéngt mam Universal Router ëmgesat. Dës Komponent erlaabt Uniswap Benotzer ERC-20 Tokens an net-fungibel Tokens "an een eenzegen Swap Router" ze handelen.
An anere Wierder, Uniswap Benotzer kënnen hir Operatiounen optimiséieren a verschidde Tokens an NFTs an enger eenzeger Transaktioun handelen, Zäit a Suen spueren. Dësen neie Bestanddeel erlaabt d'Benotzer och Fongen un Drëttubidder ze transferéieren.
Wann d'Schwachheet op der Plaz war, konnt e Benotzer eng Transaktioun un eng Drëtt Partei schécken, an déi lescht konnt Zougang zu de Fongen vum Sender kréien. Dedaub huet déi folgend erkläert:
(...) Wann Drëtt Partei Code zu all Moment am Transfert opgeruff gëtt (wat sech duerch Zesummesetzung vu Protokoller manifestéiert), kann de Code erëm an den UniversalRouter erakommen an all Token temporär am Kontrakt behaapten (...). Den Ugräifer muss och Code implementéieren fir de Router erëm anzeginn (ausféieren auszeruffen) an all Token Betrag auszeschalten. De Router kann Fongen Mëtt-Transaktioun enthalen wéinst aner Aktiounen an Transfere an engem komplexe Swap.
Den Universal Router hält d'Fongen vum Sender während d'Transaktioun ofgeschloss ass. Wärend dat geschitt ass, waren d'Fongen vulnérabel, an e schlechte Schauspiller konnt se drainéieren andeems se spezifesch Befehle wéi "Verschécken" mat engem ".TRANSFER" oder. ".SWEEP."
D'Schwachheet konnt e schlechte Schauspiller erlaabt hunn eng Transaktioun mat dësem Kommando "nei aginn" ze maachen. Eemol dobanne konnt den Ugräifer fäeg sinn "de ganze Betrag" aus dem Portemonnaie vum Sender ze drainéieren.
D'Sécherheetsfirma huet déi folgend iwwer déi "endlos Szenarien" bäigefüügt, wou d'Schwachstelle kéint exploitéiert ginn:
Wann net-vertrauenswürdege Code zu all Moment am Transfert opgeruff gëtt, kann de Code den UniversalRouter erëm aginn an all Tokens scho am UniversalRouter Kontrakt behaapten. Esou Tokens kënnen zum Beispill existéieren, well de Benotzer wëlles spéider en NFT ze kafen, oder Tokens un en zweeten Empfänger iwwerdroen, oder well de Benotzer e méi groussen Betrag austauscht wéi néideg a wëlles de Rescht u sech um Enn vum den UniversalRouter Opruff. An et gëtt kee Mangel u Szenarien, an deenen en net zouverléissege Empfänger ka geruff ginn (...).
Ethereum DEX gëtt $ 3 Milliounen u Bug Bounty
Am Dezember 2022 huet Uniswap den Universal Router gestart als Deel vun hirer neier NFT Kompatibilitéit. Zu där Zäit huet Uniswap Labs en $3 Milliounen Bounty Programm ugekënnegt. Dedaub krut dëse Betrag fir hire Fehlerbericht iwwer déi nei Komponent accordéiert.
D'Firma huet d'Belounung an d'Tatsaach gefeiert datt e schlechte Schauspiller d'Schwachheet ni ausgenotzt huet. Zousätzlech war d'Sécherheetsfirma "deen eenzege Feelerbericht op deem Uniswap gehandelt huet."
2022 war e lästeg Joer fir Krypto- a Risiko-Verméigen, wärend makroekonomesch Kräfte géint den nascent Secteur gespillt hunn. D'Benotzer hunn Hürden iwwer d'Präisser erlieft wéi Hacker a schlecht Akteuren Milliarden aus der Industrie geholl hunn.
Daten vum on-chain Analysefirma Chainalysis behaapt datt schlecht Akteuren iwwer 26 Milliarden Dollar u Krypto-Währung vun 2017 bis 2021 eleng kritt hunn. Et bleift ze gesinn, ob 2023 dësen Trend verlängeren oder reduzéieren.
Wéi vun dësem Schreiwen, den UNI Präis Handel um $ 5.70 mat Säitewiessel Bewegung op der deeglecher Grafik.
Quell: https://newsbtc.com/news/uniswap/uniswap-saved-vulnerability-security-firm/