Le programme de primes de bogues nouvellement mis en œuvre par Uniswap a été un succès retentissant, car il a aidé à découvrir et à résoudre par la suite une vulnérabilité existante dans son contrat intelligent Universal Router.
Les deux nouveaux contrats intelligents, Permit2 et Universal Router, ont été lancés en novembre 2022. Grâce au partage et à la gestion des approbations de jetons, le contrat intelligent Permit2 accorde aux applications l'accès à un éventail de capacités d'autorisation sécurisées. D'autre part, Universal Router compile les transactions ERC-20 et NFT dans un seul routeur d'échange, donnant à Uniswap une méthode plus efficace pour échanger entre différents types de crypto-monnaie.
Avec l'introduction de ces nouveaux contrats intelligents, Uniswap a également annoncé un programme de primes de bogues qui aiderait la plate-forme à détecter toute vulnérabilité potentielle. Alors que le marché de la monnaie numérique et de la blockchain continue d'évoluer, les primes de bogues sont devenues un moyen pour les entreprises de s'assurer que leurs logiciels, systèmes et infrastructures critiques sont sécurisés.
Le cabinet d'audit de sécurité DeFi Dedaub a été parmi les premiers à recevoir un prix élevé pour son travail d'identification d'une vulnérabilité sur le contrat intelligent Universal Router. La vulnérabilité a été signalée comme ayant la capacité de permettre la réentrée pendant le temps de confirmation d'une transaction, ce qui pourrait être exploité par des acteurs de la menace pour ensuite drainer les fonds d'un portefeuille.
L'équipe Dedaub a révélé une vulnérabilité critique à l'équipe Uniswap !
Les fonds sont en sécurité - Uniswap a résolu le problème et a redéployé les contrats intelligents Universal Router sur toutes ses chaînes 👏
La vulnérabilité permet à la ré-entrée de drainer les fonds de l'utilisateur, mi-tx.
– Dédaub (@dedaub) 2 janvier 2023
Dedaub explique que le routeur universel offre aux utilisateurs la possibilité d'effectuer de nombreuses transactions à la fois, comme l'échange de plusieurs jetons et NFT en une seule fois. Le langage de script intégré du routeur est capable d'une vaste gamme d'activités de jetons, y compris les transferts vers des bénéficiaires externes. Lorsqu'ils sont effectués correctement étape par étape, ces fonds seraient immédiatement versés si la transaction répondait aux critères définis par les paramètres du contrat intelligent.
De par sa conception, cela signifie qu'un code tiers, lorsqu'il est invoqué pendant le transfert, pourrait permettre au code de réintégrer le routeur universel et de gérer ou d'extraire les jetons qui se trouvent sur le contrat intelligent pendant une période temporaire. Cela a incité les whitehats Dedaub à informer Uniswap d'une résolution, qui impliquait de corriger le contrat intelligent avec un verrou de réentrance pour le module d'exécution principal d'Universal Router.
Uniswap a ensuite rapidement attribué 40,000 XNUMX $ à l'équipe Dedaub pour leur divulgation rapide. Selon Uniswap, le problème était de gravité moyenne, tandis qu'une évaluation plus approfondie de la vulnérabilité indiquait un scénario à faible chance et à fort impact. Dedaub confirme que le vecteur d'attaque peut être considéré comme une erreur de l'utilisateur final, car le scénario ne se produirait que si un utilisateur envoyait directement des NFT à un destinataire non approuvé.
Avertissement: cet article est fourni à titre informatif uniquement. Il n'est ni proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability