Dedaub의 팀은 최근 일부 사용자를 위험에 빠뜨릴 수 있는 UniSwap 계약의 취약점을 공개했습니다.
UniSwap 취약점
최근 트윗에서 Dedaub는 UniSwap 계약에서 버그를 발견하고 취약점을 알렸다고 밝혔습니다. 피드백을 받았을 때 "UniSwap은 문제를 해결하고 모든 체인에 Universal Router 스마트 계약을 재배포했습니다."
이에 따르면 Dedaub의 트윗, 이 취약점은 사용자의 자금을 고갈시키는 재진입 공격의 길을 열었습니다. Dedaub 팀은 공격자가 이 취약점을 어떻게 사용하는지 설명했습니다.
이 취약점의 탄생은 XNUMX월로 거슬러 올라갑니다. UniSwap은 범용 라우터를 출시했습니다.. 이 라우터는 NFT 및 ERC-20 스와핑을 단일 스왑 라우터로 통합합니다. 목표는 사용자가 하나의 트랜잭션에서 여러 NFT 및 토큰을 교환하는 것과 같은 여러 작업을 수행하도록 돕는 것이었습니다.
올바르게 사용하면 Universal Router 명령은 지정된 수신자에게 지정된 양을 보냅니다. 그러나 전송 중에 타사 코드가 호출되면 라우터에 다시 들어가 계약에서 토큰을 요청할 수 있습니다. 이는 주로 Universal Router가 트랜잭션 간의 균형을 유지했기 때문입니다.
개념 증명에서 Dedaub 팀은 공격자가 초기 금액이 전송된 후 남아 있는 모든 토큰에 대해 SWEEP 명령을 추가할 수 있다고 언급했습니다. 거래의 일부로 수령인은 전체 금액을 빠르게 소진할 수 있습니다.
Uniswap의 팀은 빠르게 행동했습니다.
Dedaub의 팀은 즉시 UniSwap 팀에 그러한 공격의 가능성을 알렸습니다. 그들은 배포하기 전에 Uniswap의 팀에 새 라우터에 재진입 잠금을 내장하도록 조언했습니다.
Uniswap은 문제를 즉시 처리하여 계약을 채택하기 전에 필요한 조정을 했습니다. Uniswap이 Dedaub를 수상했습니다. 개인의 보안에 대한 약속을 보여주기 위해 $40 버그 바운티 팀을 구성합니다. 그러나 Uniswap 팀은 이 문제를 영향은 크지만 가능성은 낮은 이벤트로 평가했습니다. 따라서 이것은 매우 복잡한 시나리오에서 발생할 수 있습니다.
XNUMXD덴탈의 DEX 프로토콜 유니스왑 일반적으로 재진입 공격에 익숙합니다. 2020년에는 DEX가 Lendf.me와 함께 간단한 재진입 공격으로 25만 달러를 잃었다는 보고가 나왔습니다. 네트워크는 해킹과 같은 다른 공격에도 시달렸습니다. 2022년 8월, 해커들은 ETH 피싱 공격을 사용합니다.
출처: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/