Універсальны маршрутызатар UniSwap быў уразлівы да атак паўторнага ўваходу

Нараджэнне гэтай уразлівасці бярэ пачатак у лістападзе, калі UniSwap прадставіла свой універсальны маршрутызатар. Гэты маршрутызатар аб'ядноўвае абмен NFT і ERC-20 у адным маршрутызатары падпампоўкі. Мэта складалася ў тым, каб дапамагчы карыстальнікам выконваць некалькі дзеянняў, такіх як замена некалькіх NFT і токенаў за адну транзакцыю. 

Пры правільным выкарыстанні каманды універсальнага маршрутызатара будуць адпраўляць паказаную суму ўказанаму атрымальніку. Аднак, калі код трэцяга боку выклікаецца падчас перадачы, ён можа паўторна ўвайсці ў маршрутызатар і запатрабаваць токены ў кантракце. Гэта галоўным чынам таму, што універсальны маршрутызатар захоўваў баланс паміж транзакцыямі. 

У сваім доказе канцэпцыі каманда Dedaub адзначыла, што зламыснік можа дадаць каманду SWEEP для ўсіх токенаў, якія засталіся пасля адпраўкі першапачатковых сум. У рамках транзакцыі атрымальнік мог хутка зліць усю суму.

Каманда Uniswap дзейнічала хутка

Каманда Дэдауба імгненна паведаміла камандзе UniSwap аб магчымасці такой атакі. Яны параілі камандзе Uniswap убудаваць блакіроўку паўторнага ўваходу ў свой новы маршрутызатар перад разгортваннем. 

Uniswap імгненна разабраўся з праблемай, зрабіўшы неабходныя карэктывы перад прыняццем кантракта. Uniswap узнагародзіў Dedaub аб'яднаць узнагароду ў памеры 40 тысяч долараў, каб паказаць сваю прыхільнасць бяспецы людзей. Аднак каманда Uniswap ацаніла праблему як падзею з вялікім уздзеяннем, але з нізкай верагоднасцю. Такім чынам, гэта можа адбыцца ў вельмі складаных сцэнарыях.

,en Пратакол DEX UniSwap у цэлым знаёмы з атакамі паўторнага ўваходу. У 2020 годзе з'явіліся паведамленні аб тым, што DEX разам з Lendf.me страцілі 25 мільёнаў долараў у выніку простай атакі паўторнага ўваходу. Сетка таксама падвяргалася іншым нападам, такім як узлом. У ліпені 2022 года хакеры схапілі 8 мільёнаў долараў ETH з дапамогай фішынгавай атакі.

Сачыце за намі ў Google News