Uniswap의 최근 출시된 버그 바운티 프로그램으로 인해 프로토콜의 범용 라우터 스마트 계약의 현재 수정된 취약점이 발견되었습니다.
자동화된 마켓 메이커 출시 2022년 2월 두 개의 새로운 스마트 계약이 플랫폼에 적용됩니다. Permit20는 여러 애플리케이션에서 토큰 승인을 공유하고 관리할 수 있게 해주며, Universal Router는 ERC-XNUMX과 대체 불가능한 토큰(NFT) 교환을 단일 스왑 라우터로 통합합니다.
Uniswap은 또한 프로토콜의 안전성과 효율성을 보장하기 위해 2022년 말까지 스마트 계약의 잠재적 취약성을 식별하기 위해 수익성 있는 버그 바운티 프로그램을 광고했습니다.
스마트 계약 보안 및 감사 회사인 Dedaub는 범용 라우터 스마트 계약의 취약점을 표시한 후 재진입을 허용하여 트랜잭션 중간에 사용자 자금을 고갈시킨 후 버그 바운티를 받았다고 발표했습니다.
Dedaub 팀은 Uniswap 팀에 중요한 취약점을 공개했습니다!
자금은 안전합니다 – Uniswap은 문제를 해결하고 모든 체인에 Universal Router 스마트 계약을 재배치했습니다.
이 취약점으로 인해 재진입 시 사용자 자금이 고갈될 수 있습니다.
— 데다웁(@dedaub) 2023 년 1 월 2 일
Dedaub의 분석에 따르면 Universal Router를 사용하면 사용자가 한 트랜잭션에서 여러 토큰과 NFT를 교환하는 등 다양한 작업을 수행할 수 있습니다.
라우터에는 제XNUMX자 수신자에 대한 전송을 포함할 수 있는 다양한 토큰 작업을 위한 스크립팅 언어가 내장되어 있습니다. 올바르게 구현된 경우 전송은 지정된 매개변수 내에서 수신자에게 전달됩니다.
관련 : Immunefi는 처음부터 버그 포상금으로 66만 달러를 지원했다고 말합니다.
그러나 Dedaub는 전송 중에 제XNUMX자 코드가 호출되어 코드가 범용 라우터에 다시 들어가 계약에 임시로 있던 토큰을 청구할 수 있는 취약점을 식별했습니다.
그런 다음 Dedaub는 Uniswap 팀에 새 라우터의 핵심 실행에 재진입 잠금을 추가하도록 조언하는 간단한 해결책을 제안했습니다. Uniswap은 취약점 신고에 대해 감사 회사에 총 $40,000를 수여했습니다. 금액에는 33년 2022월 Uniswap의 보너스 기간 동안 문제를 보고한 것에 대한 XNUMX% 보너스가 포함되었습니다.
Uniswap은 이 문제를 중간 심각도로 분류했으며 추가 평가에서는 취약성이 높은 영향을 미치고 발생 가능성이 낮은 것으로 간주했습니다. Dedaub에 따르면 사용자가 신뢰할 수 없는 수신자에게 NFT를 직접 보낼 가능성은 사용자 오류로 간주되었습니다.
더 복잡하고 가능성이 낮은 시나리오는 재진입에 유효한 것으로 간주되어 Uniswap은 벡터가 가능성이 낮은 것으로 간주했습니다. Cointelegraph는 Uniswap에 연락하여 진행 중인 현상금 프로그램, 지불 금액 및 현재까지 확인된 버그 수에 대한 자세한 내용을 확인했습니다.
플랫폼과 회사가 소프트웨어, 시스템 및 인프라의 보안을 보장하려고 함에 따라 버그 바운티는 암호화폐 및 블록체인 공간에서 보편화되었습니다.
최근 암호화폐 거래소 코인베이스 버그 현상금 조건을 명확히 했습니다., 블록체인 보안업체 Immunefi는 65만 달러 이상 지원 3년에 윤리적 해커와 Web2022 회사 간의 버그 바운티의 가치.
출처: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability