Bảng tỷ giá 
Bạn đang ở:
139 
Một công ty bảo mật đã gắn cờ một lỗ hổng hiện đã được khắc phục cho Uniswap, làm nổi bật khả năng xảy ra các cuộc tấn công vào lại giao thức Hợp đồng thông minh Bộ định tuyến chung.
Chương trình tiền thưởng lỗi mới ra mắt gần đây của Uniswap đã dẫn đến việc phát hiện ra một lỗ hổng hiện đã được khắc phục của giao thức hợp đồng thông minh Universal Router.
Nhà tạo lập thị trường tự động đã phát hành hai hợp đồng thông minh mới cho nền tảng của mình vào tháng 11 năm 2022. Permit2 cho phép chia sẻ và quản lý các phê duyệt Token trên các ứng dụng khác nhau, trong khi Bộ định tuyến chung giữ ERC-20 và Token không thể thay thế (NFT) hoán đổi thành một bộ định tuyến hoán đổi duy nhất.
Uniswap cũng đã quảng cáo một chương trình tiền thưởng tìm lỗi béo bở để xác định các lỗ hổng tiềm ẩn trong các hợp đồng thông minh của mình cho đến cuối năm 2022 vì nó muốn đảm bảo tính an toàn và hiệu quả của giao thức.
Công ty kiểm toán và bảo mật hợp đồng thông minh Dedaub đã thông báo rằng họ đã nhận được tiền thưởng sửa lỗi sau khi đánh dấu một lỗ hổng trong hợp đồng thông minh Bộ định tuyến vạn năng cho phép đăng nhập lại để rút tiền của người dùng giữa giao dịch.
The Dedaub team has disclosed a Critical vulnerability to the Uniswap team!
— Dedaub (@dedaub) January 2, 2023
Funds are safe - Uniswap addressed the issue and redeployed the Universal Router smart contracts on all its chains
The vulnerability allows re-entertrancy to drain the user's funds, mid-tx.
pic.twitter.com/wFSFsohPvy
Theo phân tích của Dedaub, Bộ định tuyến vạn năng cho phép người dùng thực hiện nhiều hành động khác nhau bao gồm hoán đổi nhiều Token và NFT trong một giao dịch.
Bộ định tuyến nhúng một ngôn ngữ kịch bản cho nhiều hành động Token khác nhau, có thể bao gồm chuyển giao cho người nhận bên thứ ba. Nếu được triển khai đúng cách, quá trình chuyển sẽ được chuyển đến người nhận trong các tham số đã chỉ định.
Tuy nhiên, Dedaub đã xác định được một lỗ hổng trong đó mã của bên thứ ba được gọi trong quá trình chuyển, cho phép mã này nhập lại Bộ định tuyến chung và yêu cầu bất kỳ Token nào tạm thời có trong hợp đồng.
Dedaub sau đó đã đề xuất một biện pháp khắc phục trực tiếp, khuyên nhóm Uniswap thêm khóa truy cập lại vào quá trình thực thi cốt lõi của bộ định tuyến mới. Uniswap đã thưởng cho công ty kiểm toán tổng cộng 40.000 đô la vì đã đánh dấu lỗ hổng. Số tiền bao gồm tiền thưởng 33% cho việc báo cáo sự cố trong thời gian thưởng Uniswap vào tháng 11 năm 2022.
Uniswap đã phân loại vấn đề ở mức độ nghiêm trọng trung bình, trong khi đánh giá sâu hơn cho thấy lỗ hổng có tác động cao và khả năng xảy ra thấp. Theo Dedaub, khả năng người dùng gửi NFT trực tiếp đến người nhận không đáng tin cậy được coi là lỗi người dùng.
Các tình huống phức tạp hơn và ít có khả năng xảy ra hơn được coi là hợp lệ để vào lại, điều này dẫn đến việc Uniswap coi véc tơ có khả năng xảy ra thấp.
Tiền thưởng cho lỗi đã trở nên phổ biến trong không gian tiền điện tử và blockchain khi các nền tảng và công ty tìm cách đảm bảo tính bảo mật cho phần mềm, hệ thống và cơ sở hạ tầng của họ.
Nền tảng giao dịch tiền điện tử Coinbase gần đây đã làm rõ các điều khoản về tiền thưởng lỗi của mình, trong khi công ty bảo mật blockchain Immunefi đã tạo điều kiện cho các khoản tiền thưởng lỗi trị giá hơn 65 triệu đô la giữa các tin tặc có đạo đức và các công ty Web3 vào năm 2022.
Theo CoinTelegraph
|
|
Tags: DeFi, Dedaub, Uniswap, Tiền thưởng lỗi, Lỗ hổng, Nhà tạo lập thị trường tự động, Hợp đồng thông minh.,
