UniSwap Universal Router फिर से प्रवेश करने वाले हमलों के प्रति संवेदनशील था

इस भेद्यता का जन्म नवंबर में वापस आता है जब UniSwap ने अपना यूनिवर्सल राउटर पेश किया. यह राउटर NFT और ERC-20 स्वैपिंग को एक ही स्वैप राउटर में एकीकृत करता है। इसका उद्देश्य उपयोगकर्ताओं को एक लेनदेन में कई एनएफटी और टोकन स्वैप करने जैसी कई कार्रवाइयाँ करने में मदद करना था। 

जब सही तरीके से उपयोग किया जाता है, तो यूनिवर्सल राउटर कमांड निर्दिष्ट प्राप्तकर्ता को निर्दिष्ट राशि भेजेगा। हालाँकि, यदि स्थानांतरण के दौरान किसी तृतीय-पक्ष कोड को कॉल किया जाता है, तो वह राउटर में फिर से प्रवेश कर सकता है और अनुबंध में टोकन का दावा कर सकता है। यह मुख्य रूप से इसलिए है क्योंकि यूनिवर्सल राउटर लेन-देन के बीच संतुलन रखता है। 

अपने प्रूफ-ऑफ-कॉन्सेप्ट में, डेडॉब टीम ने नोट किया कि हमलावर प्रारंभिक राशि भेजे जाने के बाद शेष सभी टोकन के लिए एक SWEEP कमांड जोड़ सकता है। लेन-देन के हिस्से के रूप में, प्राप्तकर्ता जल्दी से पूरी राशि निकाल सकता है।

Uniswap की टीम ने तेजी से काम किया

Dedaub की टीम ने तुरंत ही UniSwap टीम को इस तरह के हमले की संभावना के बारे में सूचित किया। उन्होंने Uniswap की टीम को सलाह दी कि वे तैनात करने से पहले अपने नए राउटर में एक रीएन्ट्रेंसी लॉक एम्बेड करें। 

Uniswap ने अनुबंध को अपनाने से पहले आवश्यक समायोजन करते हुए, तुरंत इस मुद्दे को निपटाया। Uniswap ने Dedaub को पुरस्कृत किया लोगों की सुरक्षा के प्रति अपनी प्रतिबद्धता दिखाने के लिए टीम को $40 हजार का बग बाउंटी। हालाँकि, Uniswap टीम ने समस्या का मूल्यांकन एक उच्च प्रभाव वाली लेकिन कम संभावना वाली घटना के रूप में किया। इसलिए, यह बहुत जटिल परिदृश्यों में हो सकता है।

RSI DEX प्रोटोकॉल UniSwap आम तौर पर पुनः प्रवेश हमलों से परिचित है। 2020 में, रिपोर्टें सामने आईं कि DEX, Lendf.me के साथ, एक साधारण री-एंट्रेंसी हमले में $25 मिलियन का नुकसान हुआ। नेटवर्क को हैकिंग जैसे अन्य हमलों का भी सामना करना पड़ा है। जुलाई 2022 में हैकर्स ने 8 लाख डॉलर हड़प लिए ETH फ़िशिंग हमले का उपयोग करना।

Google समाचार पर हमें फ़ॉलो करें