Uniswap के हाल ही में लॉन्च किए गए बग बाउंटी प्रोग्राम ने प्रोटोकॉल के यूनिवर्सल राउटर स्मार्ट कॉन्ट्रैक्ट की अब निश्चित भेद्यता की खोज की है।
स्वचालित बाजार निर्माता रिहा नवंबर 2022 में इसके प्लेटफॉर्म पर दो नए स्मार्ट अनुबंध। Permit2 टोकन अनुमोदन को विभिन्न अनुप्रयोगों में साझा और प्रबंधित करने की अनुमति देता है, जबकि यूनिवर्सल राउटर ERC-20 और अपूरणीय टोकन (NFTs) को एक स्वैप राउटर में स्वैप करता है।
Uniswap ने 2022 के अंत तक अपने स्मार्ट अनुबंधों में संभावित कमजोरियों की पहचान करने के लिए एक आकर्षक बग बाउंटी कार्यक्रम का भी विज्ञापन किया, क्योंकि यह अपने प्रोटोकॉल की सुरक्षा और प्रभावकारिता को सुनिश्चित करने के लिए देखा गया था।
स्मार्ट कॉन्ट्रैक्ट सिक्योरिटी और ऑडिटिंग फर्म डीडॉब ने घोषणा की कि यूनिवर्सल राउटर स्मार्ट कॉन्ट्रैक्ट में एक भेद्यता को फ़्लैग करने के बाद उसे एक बग इनाम मिला है, जो उपयोगकर्ता के धन को मध्य-लेन-देन में निकालने के लिए पुनर्प्रवेश की अनुमति देगा।
Dedaub टीम ने Uniswap टीम के लिए एक गंभीर भेद्यता का खुलासा किया है!
फंड सुरक्षित हैं - Uniswap ने इस मुद्दे को संबोधित किया और यूनिवर्सल राउटर स्मार्ट कॉन्ट्रैक्ट्स को अपनी सभी श्रृंखलाओं पर फिर से तैनात किया
भेद्यता फिर से प्रवेश करने की अनुमति देती है ताकि उपयोगकर्ता के फंड, मिड-टेक्स को निकाला जा सके।
- डेडौब (@dedaub) जनवरी ७,२०२१
डेडौब के ब्रेकडाउन के अनुसार, यूनिवर्सल राउटर उपयोगकर्ताओं को एक लेनदेन में कई टोकन और एनएफटी स्वैप करने सहित विविध कार्यों को करने की अनुमति देता है।
राउटर विभिन्न प्रकार की टोकन क्रियाओं के लिए एक स्क्रिप्टिंग भाषा को एम्बेड करता है, जिसमें तीसरे पक्ष के प्राप्तकर्ताओं को स्थानान्तरण शामिल हो सकता है। यदि सही ढंग से कार्यान्वित किया जाता है, तो स्थानांतरण निर्दिष्ट मानकों के भीतर प्राप्तकर्ता के पास जाएगा।
संबंधित: इम्यूनफी का कहना है कि स्थापना के बाद से इसने बग बाउंटी में $66M की सुविधा दी है
हालांकि, डीडॉब ने एक भेद्यता की पहचान की जिसमें स्थानांतरण के दौरान एक तृतीय-पक्ष कोड लागू किया गया था, जिससे कोड को यूनिवर्सल राउटर में फिर से प्रवेश करने और अनुबंध में अस्थायी रूप से किसी भी टोकन का दावा करने की अनुमति मिली।
Dedaub ने तब एक सीधा उपाय सुझाया, जिसमें Uniswap टीम को नए राउटर के मुख्य निष्पादन में एक रीएन्ट्रेंसी लॉक जोड़ने की सलाह दी। भेद्यता को चिह्नित करने के लिए Uniswap ने ऑडिटिंग फर्म को कुल $ 40,000 का पुरस्कार दिया। इस राशि में नवंबर 33 में Uniswap की बोनस अवधि के दौरान समस्या की रिपोर्ट करने के लिए 2022% बोनस शामिल था।
Uniswap ने इस मुद्दे को मध्यम गंभीरता के रूप में वर्गीकृत किया, जबकि आगे के मूल्यांकन में भेद्यता को उच्च प्रभाव और कम संभावना वाला माना गया। डीडौब के अनुसार, एक उपयोगकर्ता द्वारा एक अविश्वसनीय प्राप्तकर्ता को सीधे एनएफटी भेजने की संभावना को एक उपयोगकर्ता त्रुटि माना गया।
अधिक जटिल और कम संभावना वाले परिदृश्यों को पुनर्प्रवेश के लिए वैध माना गया, जिसके परिणामस्वरूप Uniswap ने वेक्टर को कम संभावना वाला माना। कॉइनटेग्राफ अपने चल रहे इनामी कार्यक्रम, भुगतान की गई राशि और अब तक पहचाने गए बग की संख्या के बारे में अधिक जानकारी प्राप्त करने के लिए Uniswap तक पहुंच गया है।
क्रिप्टोक्यूरेंसी और ब्लॉकचेन स्पेस में बग बाउंटी आम हो गए हैं क्योंकि प्लेटफॉर्म और कंपनियां अपने सॉफ्टवेयर, सिस्टम और इंफ्रास्ट्रक्चर की सुरक्षा सुनिश्चित करने के लिए देखती हैं।
क्रिप्टोक्यूरेंसी एक्सचेंज कॉइनबेस हाल ही में बग बाउंटी की शर्तों को स्पष्ट किया, जबकि ब्लॉकचेन सिक्योरिटी फर्म इम्यूनफी के पास है 65 मिलियन डॉलर से अधिक की सहायता की 3 में एथिकल हैकर्स और वेब2022 फर्मों के बीच बग बाउंटी का मूल्य।
स्रोत: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability