Uniswap의 새로 구현된 버그 바운티 프로그램은 Universal Router 스마트 계약의 기존 취약점을 발견하고 해결하는 데 도움이 되었기 때문에 큰 성공을 거두었습니다.
두 개의 새로운 스마트 계약인 Permit2 및 Universal Router가 2022년 2월에 출시되었습니다. 토큰 승인 공유 및 관리를 통해 Permit20 스마트 계약은 애플리케이션에 일련의 보안 승인 기능에 대한 액세스 권한을 부여합니다. 반면에 Universal Router는 ERC-XNUMX 및 NFT 트랜잭션을 단일 스왑 라우터로 컴파일하여 Uniswap에 다양한 유형의 암호화폐 간 교환을 위한 보다 효율적인 방법을 제공합니다.
이러한 새로운 스마트 계약의 도입과 함께 Uniswap은 플랫폼이 잠재적인 취약점을 감지하는 데 도움이 되는 버그 바운티 프로그램도 발표했습니다. 디지털 통화 및 블록체인 시장이 계속 발전함에 따라 버그 포상금은 기업이 소프트웨어, 시스템 및 중요 인프라의 보안을 보장하는 방법이 되었습니다.
DeFi 보안 감사 회사인 Dedaub는 Universal Router 스마트 계약의 취약성을 식별하는 작업으로 처음으로 막대한 상을 받았습니다. 이 취약점은 트랜잭션 확인 시간 동안 재진입을 허용하는 기능이 있는 것으로 표시되었으며, 이는 공격자가 이를 악용하여 지갑의 자금을 고갈시킬 수 있습니다.
Dedaub 팀은 Uniswap 팀에 중요한 취약점을 공개했습니다!
자금은 안전합니다 – Uniswap은 문제를 해결하고 모든 체인에 Universal Router 스마트 계약을 재배포했습니다 👏
이 취약점으로 인해 재진입 시 사용자 자금이 고갈될 수 있습니다.
— 데다웁(@dedaub) 2023 년 1 월 2 일
Dedaub는 Universal Router가 사용자에게 한 번에 여러 토큰 및 NFT를 교환하는 등 한 번에 수많은 거래를 할 수 있는 기회를 제공한다고 설명합니다. 라우터의 통합 스크립팅 언어는 외부 수취인으로의 이체를 포함하여 광범위한 토큰 활동을 수행할 수 있습니다. 단계별로 올바르게 완료되면 트랜잭션이 스마트 계약의 매개변수에 의해 설정된 기준을 충족하는 경우 이러한 자금이 즉시 전달됩니다.
설계상 이것은 전송 중에 호출될 때 제XNUMX자 코드를 통해 코드가 범용 라우터에 다시 들어가 임시 기간 동안 스마트 계약에 있는 토큰을 관리하거나 가져올 수 있음을 의미합니다. 이로 인해 Dedaub whitehats는 Universal Router의 핵심 실행 모듈에 대한 재진입 잠금으로 스마트 계약을 패치하는 것과 관련된 해결책을 Uniswap에 조언했습니다.
그런 다음 Uniswap은 신속하게 공개한 Dedaub 팀에 40,000달러를 신속하게 수여했습니다. Uniswap에 따르면 이 문제는 중간 수준의 심각도였으며 취약성에 대한 추가 평가에서는 가능성이 낮고 영향이 큰 시나리오를 지적했습니다. Dedaub는 사용자가 신뢰할 수 없는 수신자에게 NFT를 직접 보내는 경우에만 시나리오가 발생하기 때문에 공격 벡터가 사용자 측 오류로 간주될 수 있음을 확인합니다.
면책 조항 :이 문서는 정보 제공 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 제공되거나 사용되도록 의도되지 않았습니다.
출처: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability