सुरक्षा फर्म Dedaub की खोज और लोकप्रिय एथेरियम विकेन्द्रीकृत एक्सचेंज Uniswap पर एक महत्वपूर्ण भेद्यता का खुलासा किया। प्रोटोकॉल के पीछे की टीम ने बग को ठीक किया, और प्रभावित घटकों को सफलतापूर्वक पुन: नियोजित किया गया - अन्यथा, एक हमलावर उपयोगकर्ता के धन को चुराने के लिए लेन-देन के साथ छेड़छाड़ कर सकता था।
Uniswap खतरे से बचता है और नई सुविधाओं को ठीक करता है
सुरक्षा फर्म के अनुसार, यूनिवर्सल राउटर के साथ भेद्यता को अनायास ही लागू कर दिया गया था। यह घटक Uniswap उपयोगकर्ताओं को ERC-20 टोकन और अपूरणीय टोकन "एकल स्वैप राउटर में" व्यापार करने की अनुमति देता है।
दूसरे शब्दों में, Uniswap उपयोगकर्ता अपने संचालन को अनुकूलित कर सकते हैं और एक ही लेन-देन में कई टोकन और NFT का व्यापार कर सकते हैं, जिससे समय और धन की बचत होती है। यह नया घटक उपयोगकर्ताओं को तृतीय पक्षों को धन हस्तांतरित करने की भी अनुमति देता है।
जब भेद्यता को रखा गया था, तो उपयोगकर्ता तीसरे पक्ष को लेनदेन भेज सकता था, और बाद वाले को प्रेषक के धन तक पहुंच प्राप्त हो सकती थी। Dedaub ने निम्नलिखित की व्याख्या की:
(...) यदि स्थानांतरण के किसी भी बिंदु पर तृतीय-पक्ष कोड लागू किया जाता है (जो प्रोटोकॉल की संरचना के कारण स्वयं प्रकट होता है), कोड यूनिवर्सल राउटर को फिर से दर्ज कर सकता है और अनुबंध में अस्थायी रूप से किसी भी टोकन का दावा कर सकता है (...)। हमलावर को राउटर (कॉलिंग निष्पादन) को फिर से दर्ज करने और सभी टोकन राशियों को स्वीप करने के लिए कोड को लागू करने की भी आवश्यकता होती है। अन्य कार्यों और एक जटिल स्वैप में स्थानांतरण के कारण राउटर में मध्य-लेन-देन हो सकता है।
लेनदेन पूरा होने पर यूनिवर्सल राउटर प्रेषक के धन को रखता है। जबकि ऐसा हुआ था, धन कमजोर थे, और एक बुरा अभिनेता "प्रेषण" जैसे "प्रेषण" या "ट्रांसफ़र" के साथ विशिष्ट आदेशों को कॉल करके उन्हें निकाल सकता था। "।झाड़ू लगाना।"
भेद्यता एक खराब अभिनेता को इस आदेश का उपयोग करके लेनदेन को "पुनः दर्ज" करने की अनुमति दे सकती है। एक बार अंदर जाने के बाद, हमलावर प्रेषक के बटुए से "पूरी राशि निकालने" में सक्षम हो सकता था।
सुरक्षा फर्म ने निम्नलिखित को "अंतहीन परिदृश्यों" पर जोड़ा जहां भेद्यता का फायदा उठाया जा सकता था:
यदि स्थानांतरण के किसी भी बिंदु पर अविश्वसनीय कोड लागू किया जाता है, तो कोड यूनिवर्सल राउटर में फिर से प्रवेश कर सकता है और यूनिवर्सल राउटर अनुबंध में पहले से मौजूद किसी भी टोकन का दावा कर सकता है। उदाहरण के लिए, इस तरह के टोकन मौजूद हो सकते हैं क्योंकि उपयोगकर्ता बाद में एक एनएफटी खरीदना चाहता है, या दूसरे प्राप्तकर्ता को टोकन स्थानांतरित करना चाहता है, या क्योंकि उपयोगकर्ता आवश्यकता से अधिक बड़ी राशि स्वैप करता है और अंत में शेष को "स्वीप" करने का इरादा रखता है। यूनिवर्सल राउटर कॉल। और ऐसे परिदृश्यों की कमी नहीं है जिनमें एक अविश्वसनीय प्राप्तकर्ता को (...) कहा जा सकता है।
एथेरियम डीईएक्स बग बाउंटी में $3 मिलियन देता है
दिसंबर 2022 में, Uniswap ने अपनी नई NFT अनुकूलता के हिस्से के रूप में यूनिवर्सल राउटर लॉन्च किया। उस समय, Uniswap Labs ने $3 मिलियन के इनाम कार्यक्रम की घोषणा की। Dedaub को यह राशि नए घटक पर उनकी बग रिपोर्ट के लिए दी गई थी।
फर्म ने इनाम और इस तथ्य का जश्न मनाया कि एक बुरे अभिनेता ने कभी भी भेद्यता का फायदा नहीं उठाया। इसके अलावा, सुरक्षा फर्म "एकमात्र बग रिपोर्ट थी जिस पर Uniswap ने कार्रवाई की।"
2022 क्रिप्टो और रिस्क-ऑन एसेट्स के लिए एक परेशानी भरा साल था, जबकि मैक्रोइकॉनॉमिक बलों ने नवजात क्षेत्र के खिलाफ खेला। उपयोगकर्ताओं को कीमतों में गिरावट से परे बाधाओं का सामना करना पड़ा क्योंकि हैकर्स और बुरे अभिनेताओं ने उद्योग से अरबों ले लिए।
से डेटा ऑन-चेन एनालिटिक्स फर्म चैनालिसिस का दावा है 26 से 2017 तक केवल बैड एक्टर्स को क्रिप्टोकरेंसी में $2021 बिलियन से अधिक प्राप्त हुए हैं। यह देखा जाना बाकी है कि 2023 इस प्रवृत्ति को बढ़ाएगा या कम करेगा।
इस लेखन के अनुसार, यूएनआई की कीमत दैनिक चार्ट पर बग़ल में आंदोलन के साथ $ 5.70 पर कारोबार कर रही है।
स्रोत: https://newsbtc.com/news/uniswap/uniswap-saved-vulnerability-security-firm/