זיכערהייט פירמע Dedaub דיסקאַווערד און דיסקלאָוזד אַ קריטיש וואַלנעראַביליטי אויף די פאָלקס עטהערעום דיסענטראַלייזד וועקסל Uniswap. די מאַנשאַפֿט הינטער דעם פּראָטאָקאָל פאַרפעסטיקט דעם זשוק, און די אַפעקטאַד קאַמפּאָונאַנץ זענען הצלחה ריפּלויד - אַנדערש, אַן אַטאַקער קען האָבן טעמפּערד מיט טראַנזאַקשאַנז צו גאַנווענען די געלט פון אַ באַניצער.
Uniswap אַוווידז געפאַר און פיקסיז נייַ פֿעיִקייטן
לויט די זיכערהייט פירמע, די וואַלנעראַביליטי איז אַנינטענשאַנאַלי ימפּלאַמענאַד מיט די וניווערסאַל ראַוטער. דער קאָמפּאָנענט אַלאַוז Uniswap ניצערס צו האַנדלען ERC-20 טאָקענס און ניט-פאַנגיבלע טאָקענס "אין אַ איין ויסבייַטן ראַוטער."
אין אנדערע ווערטער, Uniswap ניצערס קענען אַפּטאַמייז זייער אַפּעריישאַנז און האַנדל קייפל טאָקענס און NFTs אין אַ איין טראַנסאַקטיאָן, שפּאָרן צייט און געלט. דער נייַע קאָמפּאָנענט אויך אַלאַוז ניצערס צו אַריבערפירן געלט צו דריט פּאַרטיעס.
ווען די וואַלנעראַביליטי איז געווען געשטעלט, אַ באַניצער קען שיקן אַ טראַנסאַקטיאָן צו אַ דריט פּאַרטיי, און די יענער קען האָבן באקומען אַקסעס צו די סענדער ס געלט. Dedaub האט דערקלערט די פאלגענדע:
(...) אויב דריט-פּאַרטיי קאָד איז ינוואָוקט אין קיין פונט אין די אַריבערפירן (וואָס מאַנאַפעסץ זיך רעכט צו דער זאַץ פון פּראָטאָקאָלס), דער קאָד קענען אַרייַן די וניווערסאַלראָוטער און פאָדערן קיין טאָקענס טעמפּערעראַלי אין די קאָנטראַקט (...). דער אַטאַקער אויך דאַרף צו ינסטרומענט קאָד צו אַרייַן די ראַוטער (פאַך ויספירן) און ויסקערן אַלע סימען אַמאַונץ. דער ראַוטער קען אַנטהאַלטן געלט אין מיטן טראַנסאַקטיאָן רעכט צו אנדערע אַקשאַנז און טראַנספערס אין אַ קאָמפּלעקס ויסבייַטן.
די וניווערסאַל ראַוטער האַלטן די סענדער ס געלט בשעת די טראַנסאַקטיאָן איז געענדיקט. בשעת דעם געטראפן, די געלט זענען שפּירעוודיק, און אַ שלעכט אַקטיאָר קען פליסן זיי דורך רופן ספּעציפיש קאַמאַנדז אַזאַ ווי "דיספּאַטש" מיט אַ ".טראַנספער" אָדער. ".אויסקערן."
די וואַלנעראַביליטי קען האָבן ערלויבט אַ שלעכט אַקטיאָר צו "שייַעך-אַרייַן" אַ טראַנסאַקטיאָן ניצן דעם באַפֿעל. אַמאָל אינעווייניק, דער אַטאַקער קען האָבן געווען ביכולת צו "דרייען די גאנצע סומע" פון די סענדער ס בייַטל.
די זיכערהייט פירמע האָט צוגעגעבן די פאלגענדע וועגן די "סאָף סינעריאָוז" ווו די וואַלנעראַביליטי קען זיין עקספּלויטאַד:
אויב אַנטראַסט קאָד איז ינוואָוקט אין קיין פונט אין די אַריבערפירן, דער קאָד קענען שייַעך-אַרייַן די UniversalRouter און פאָדערן קיין טאָקענס שוין אין די UniversalRouter קאָנטראַקט. אַזאַ טאָקענס קענען, למשל, עקסיסטירן ווייַל דער באַניצער בדעה צו שפּעטער קויפן אַ NFT, אָדער אַריבערפירן טאָקענס צו אַ צווייט באַקומער, אָדער ווייַל דער באַניצער סוויטשיז אַ גרעסערע סומע ווי דארף און בדעה צו "אָפּקערן" די רעשט צו זיך אין די סוף פון די וניווערסאַלראָוטער רופן. און עס איז קיין דוחק פון סינעריאָוז אין וואָס אַ אַנטראַסט באַקומער קען זיין גערופֿן (...).
Ethereum DEX גראַנץ $ 3 מיליאָן אין באַג באָונטי
אין דעצעמבער 2022, Uniswap לאָנטשט די וניווערסאַל ראַוטער ווי אַ טייל פון זייער נייַע NFT קאַמפּאַטאַבילאַטי. אין דער צייט, Uniswap Labs מודיע אַ ברייטהאַרציקייט פּראָגראַם פון $ 3 מיליאָן. Dedaub איז געווען דערלויבט דעם סומע פֿאַר זייער זשוק באַריכט אויף די נייַע קאָמפּאָנענט.
די פירמע סעלאַברייטיד די באַלוינונג און די פאַקט אַז אַ שלעכט אַקטיאָר קיינמאָל עקספּלויטאַד די וואַלנעראַביליטי. אין אַדישאַן, די זיכערהייט פירמע איז געווען "דער בלויז זשוק באַריכט וואָס Uniswap אַקטאַד אויף."
2022 איז געווען אַ טראַבאַלסאַם יאָר פֿאַר קריפּטאָ און ריזיקירן-אויף אַסעץ, בשעת מאַקראָויקאַנאַמיק פאָרסעס געשפילט קעגן די נייסאַנט סעקטאָר. יוזערז האָבן יקספּיריאַנסט כערדאַלז ווייַטער פון דיקליינינג פּרייסאַז ווייַל כאַקערז און שלעכט אַקטערז גענומען ביליאַנז פון די אינדוסטריע.
דאַטן פון אויף-קייט אַנאַליטיקס פירמע Chainalysis קליימז אַז שלעכט אַקטערז האָבן באקומען איבער $ 26 ביליאָן אין קריפּטאָקוררענסי פון 2017 צו 2021 אַליין. עס בלייבט צו זען אויב 2023 וועט פאַרברייטערן אָדער פאַרמינערן דעם גאַנג.
ווי פון דעם שרייבן, UNI's פּרייַז טריידז ביי $ 5.70 מיט סיידווייז באַוועגונג אויף די טעגלעך טשאַרט.
מקור: https://newsbtc.com/news/uniswap/uniswap-saved-vulnerability-security-firm/