DeFi सुरक्षा फर्म Dedaub ने Uniswap भेद्यता का खुलासा किया

Uniswap का हाल ही में लागू किया गया बग बाउंटी प्रोग्राम बहुत सफल रहा है, क्योंकि इसने अपने यूनिवर्सल राउटर स्मार्ट कॉन्ट्रैक्ट में मौजूदा भेद्यता को उजागर करने और बाद में हल करने में मदद की।

दो नए स्मार्ट अनुबंध, Permit2 और Universal Router, नवंबर 2022 में वापस जारी किए गए थे। टोकन अनुमोदन साझाकरण और प्रबंधन के माध्यम से, Permit2 स्मार्ट अनुबंध सुरक्षित प्राधिकरण क्षमताओं की एक सरणी तक पहुंच के साथ अनुप्रयोगों को अनुदान देता है। दूसरी ओर, यूनिवर्सल राउटर ERC-20 और NFT लेनदेन को एक ही स्वैप राउटर में संकलित करता है, जिससे Uniswap को विभिन्न प्रकार की क्रिप्टोकरेंसी के बीच आदान-प्रदान करने का एक अधिक कुशल तरीका मिलता है।

इन नए स्मार्ट अनुबंधों की शुरुआत के साथ, Uniswap ने बग बाउंटी प्रोग्राम की भी घोषणा की, जो प्लेटफ़ॉर्म को किसी भी संभावित भेद्यता का पता लगाने में मदद करेगा। जैसे-जैसे डिजिटल करेंसी और ब्लॉकचेन मार्केट का विकास जारी है, बग बाउंटी फर्मों के लिए यह सुनिश्चित करने का एक तरीका बन गया है कि उनका सॉफ्टवेयर, सिस्टम और महत्वपूर्ण बुनियादी ढांचा सुरक्षित है।

यूनिवर्सल राउटर स्मार्ट कॉन्ट्रैक्ट पर भेद्यता की पहचान करने के लिए DeFi सुरक्षा ऑडिटिंग फर्म Dedaub अपने काम के लिए भारी पुरस्कार प्राप्त करने वाली पहली कंपनियों में से एक थी। भेद्यता को लेन-देन की पुष्टि के समय के दौरान पुनर्प्रवेश की अनुमति देने की क्षमता के रूप में फ़्लैग किया गया था, जिसका उपयोग खतरे वाले अभिनेताओं द्वारा वॉलेट के धन को निकालने के लिए किया जा सकता है।

Dedaub टीम ने Uniswap टीम के लिए एक गंभीर भेद्यता का खुलासा किया है!

फंड सुरक्षित हैं - Uniswap ने इस मुद्दे को हल किया और यूनिवर्सल राउटर स्मार्ट कॉन्ट्रैक्ट्स को अपनी सभी श्रृंखलाओं पर फिर से तैनात किया 👏

भेद्यता फिर से प्रवेश करने की अनुमति देती है ताकि उपयोगकर्ता के फंड, मिड-टेक्स को निकाला जा सके।

🧵 pic.twitter.com/wFSFsohPvy

- डेडौब (@dedaub) जनवरी ७,२०२१

डेडौब बताते हैं कि यूनिवर्सल राउटर उपयोगकर्ताओं को एक बार में कई लेनदेन करने का अवसर प्रदान करता है, जैसे कि एक ही बार में कई टोकन और एनएफटी का आदान-प्रदान करना। राउटर की एकीकृत स्क्रिप्टिंग भाषा बाहरी भुगतानकर्ताओं को स्थानान्तरण सहित टोकन गतिविधियों की एक विस्तृत श्रृंखला के लिए सक्षम है। चरण दर चरण सही ढंग से किए जाने पर, यदि लेनदेन स्मार्ट अनुबंध के मापदंडों द्वारा निर्धारित मानदंडों को पूरा करता है, तो ये धनराशि तुरंत वितरित की जाएगी।

डिज़ाइन के अनुसार, इसका मतलब है कि स्थानांतरण के दौरान एक तीसरे भाग का कोड, कोड को यूनिवर्सल राउटर में फिर से प्रवेश करने और अस्थायी अवधि के लिए स्मार्ट अनुबंध पर मौजूद टोकन को प्रबंधित करने या खींचने की अनुमति दे सकता है। इसने डिडौब व्हाइटहैट्स को Uniswap को एक संकल्प की सलाह देने के लिए प्रेरित किया, जिसमें यूनिवर्सल राउटर के कोर निष्पादन मॉड्यूल के लिए रीएन्ट्रेंसी लॉक के साथ स्मार्ट अनुबंध को पैच करना शामिल था।

उसके बाद Uniswap ने Dedaub टीम को उनके शीघ्र प्रकटीकरण के लिए तेजी से $40,000 प्रदान किए। Uniswap के अनुसार, मुद्दा मध्यम-स्तर की गंभीरता का था, जबकि भेद्यता के आगे के आकलन ने कम-संभावना, उच्च-प्रभाव वाले परिदृश्य की ओर इशारा किया। Dedaub पुष्टि करता है कि हमले के वेक्टर को उपयोगकर्ता-समाप्ति त्रुटि के रूप में माना जा सकता है, क्योंकि परिदृश्य केवल तभी होगा जब कोई उपयोगकर्ता किसी अविश्वसनीय प्राप्तकर्ता को सीधे NFTs भेजता है।

अस्वीकरण: यह लेख केवल सूचना के उद्देश्यों के लिए प्रदान किया गया है। यह कानूनी, कर, निवेश, वित्तीय, या अन्य सलाह के रूप में इस्तेमाल करने की पेशकश या इरादा नहीं है।