Dedaub коопсуздук фирмасы ачылган жана популярдуу Ethereum борборлоштурулган алмашуу Uniswap боюнча маанилүү аялуу ачып. Протоколдун артында турган топ мүчүлүштүктөрдү оңдоп, жабыркаган компоненттер ийгиликтүү кайра жайгаштырылды — антпесе, чабуулчу колдонуучунун каражаттарын уурдоо үчүн транзакцияларды токтотуп коюшу мүмкүн.
Uniswap коркунучтан сактайт жана жаңы функцияларды оңдойт
Коопсуздук фирмасынын айтымында, алсыздык Universal Router менен кокусунан ишке ашырылган. Бул компонент Uniswap колдонуучуларына ERC-20 жана алмаштырылбаган токендерди "бир своп роутерге" соодалоого мүмкүндүк берет.
Башка сөз менен айтканда, Uniswap колдонуучулары өз операцияларын оптималдаштырып, бир транзакцияда бир нече токендерди жана NFTтерди соодалашып, убакытты жана акчаны үнөмдөй алышат. Бул жаңы компонент да колдонуучуларга үчүнчү жактарга акча которууга мүмкүнчүлүк берет.
Алсыздык орнотулганда, колдонуучу транзакцияны үчүнчү жакка жөнөтө алган, ал эми экинчиси жөнөтүүчүнүн каражаттарына кирүү мүмкүнчүлүгүнө ээ болушу мүмкүн. Дедауб төмөндөгүлөрдү түшүндүрдү:
(...) эгерде үчүнчү тараптын коду өткөрүп берүүнүн каалаган жеринде чакырылса (бул протоколдордун курамына байланыштуу пайда болот), код UniversalRouterге кайра кирип, келишимде убактылуу каалаган белгилерди талап кыла алат (...). Ошондой эле чабуулчу роутерди кайра киргизүү үчүн кодду ишке ашырышы керек (чакырууну аткаруу) жана бардык токендердин суммасын шыпыруу. Маршрутизатор татаал свопто башка аракеттердин жана которуулардын эсебинен транзакциянын ортосунда каражаттарды камтышы мүмкүн.
Универсал роутер транзакция аяктаганга чейин жөнөтүүчүнүн акчасын кармап турат. Бул болуп жатканда, каражаттар аялуу болгон, жана жаман актер, мисалы, ".TRANSFER" же менен "диспетчер" сыяктуу конкреттүү буйруктарды чакырып, аларды агызып мүмкүн. ".САПЫР."
Алсыздык жаман актерго бул буйрукту колдонуу менен транзакцияга "кайрадан киришине" жол бериши мүмкүн. Ичкери киргенден кийин кол салган адам жөнөтүүчүнүн капчыгынан «бардык сумманы чыгарып» алган.
Коопсуздук фирмасы алсыздык пайдаланылышы мүмкүн болгон "чексиз сценарийлерге" төмөнкүлөрдү кошту:
Ишенимсиз код өткөрүп берүүнүн каалаган жеринде чакырылса, код UniversalRouterге кайра кирип, UniversalRouter келишиминде мурунтан эле бардык токендерди талап кыла алат. Мындай токендер, мисалы, колдонуучу кийинчерээк NFT сатып алгысы келгендиктен, же токендерди экинчи алуучуга өткөрүүнү көздөгөндүктөн же колдонуучу керектүүдөн көбүрөөк сумманы алмаштырып, калганын өзүнө "шыпырып" коюуну каалагандыктан болушу мүмкүн. UniversalRouter чалуу. Ишенимсиз алуучуга чалууга мүмкүн болгон сценарийлердин жетишсиздиги жок (...).
Ethereum DEX 3 миллион долларлык каталарды кайтарып берет
2022-жылдын декабрында Uniswap жаңы NFT шайкештигинин бир бөлүгү катары Универсал роутерди ишке киргизди. Ошол учурда Uniswap Labs 3 миллион долларлык сыйлык программасын жарыялаган. Дедаубка бул сумма жаңы компонент боюнча каталар жөнүндө отчету үчүн берилди.
Фирма сыйлыкты жана жаман актер эч качан алсыздыкты пайдаланбаганын белгиледи. Мындан тышкары, коопсуздук фирмасы "Uniswap аракет кылган бирден-бир ката отчету" болгон.
2022-жыл крипто жана тобокелдик активдер үчүн кыйын жыл болду, ал эми макроэкономикалык күчтөр жаңыдан пайда болгон секторго каршы ойноду. Хакерлер жана жаман актерлор тармактан миллиарддаган долларды алып кеткендиктен, колдонуучулар баанын төмөндөшүнөн тышкары тоскоолдуктарды баштан өткөрүштү.
маалыматтарды Chainalysis аналитикалык фирмасынын ырастоосунда жаман актерлор 26-жылдан 2017-жылга чейин 2021 миллиард доллардан ашык криптовалютаны алышкан. 2023-жылга чейин бул тенденцияны узартабы же жумшартабы, көрүш керек.
Бул жазуу боюнча, UNI баасы күнүмдүк диаграммада каптал кыймылы менен $ 5.70 боюнча соода.
Булак: https://newsbtc.com/news/uniswap/uniswap-saved-vulnerability-security-firm/