O programa de recompensas de bugs lançado recentemente pela Uniswap levou à descoberta de uma vulnerabilidade agora corrigida do contrato inteligente do roteador universal do protocolo.
O criador de mercado automatizado liberado dois novos contratos inteligentes para sua plataforma em novembro de 2022. O Permit2 permite que as aprovações de token sejam compartilhadas e gerenciadas em diferentes aplicativos, enquanto o Universal Router unifica ERC-20 e troca de tokens não fungíveis (NFTs) em um único roteador de troca.
A Uniswap também anunciou um lucrativo programa de recompensas de bugs para identificar possíveis vulnerabilidades em seus contratos inteligentes no final de 2022, enquanto procurava garantir a segurança e a eficácia de seu protocolo.
A empresa de segurança e auditoria de contrato inteligente Dedaub anunciou que recebeu uma recompensa por bug depois de sinalizar uma vulnerabilidade no contrato inteligente do roteador universal que teria permitido que a reentrada drenasse os fundos do usuário no meio da transação.
A equipe Dedaub divulgou uma vulnerabilidade crítica para a equipe Uniswap!
Os fundos estão seguros – a Uniswap resolveu o problema e reimplantou os contratos inteligentes do Universal Router em todas as suas cadeias
A vulnerabilidade permite que a reentrada drene os fundos do usuário, no meio do tx.
- Dedaub (@dedaub) 2 de janeiro de 2023
De acordo com o detalhamento da Dedaub, o Universal Router permite que os usuários executem diversas ações, incluindo a troca de vários tokens e NFTs em uma transação.
O roteador incorpora uma linguagem de script para uma ampla variedade de ações de token, que podem incluir transferências para destinatários de terceiros. Se implementadas corretamente, as transferências iriam para o destinatário dentro dos parâmetros especificados.
Relacionado: Immunefi diz que facilitou US$ 66 milhões em recompensas de bugs desde o início
No entanto, a Dedaub identificou uma vulnerabilidade na qual um código de terceiros foi invocado durante a transferência, permitindo que o código entrasse novamente no roteador universal e reivindicasse quaisquer tokens que estivessem temporariamente no contrato.
Dedaub então sugeriu uma solução direta, aconselhando a equipe Uniswap a adicionar um bloqueio de reentrada à execução principal do novo roteador. A Uniswap concedeu à empresa de auditoria um total de US$ 40,000 por sinalizar a vulnerabilidade. O valor incluiu um bônus de 33% por relatar o problema durante o período de bônus da Uniswap em novembro de 2022.
A Uniswap classificou o problema como de gravidade média, enquanto uma avaliação mais aprofundada considerou a vulnerabilidade de alto impacto e baixa probabilidade. Segundo Dedaub, a possibilidade de um usuário enviar NFTs diretamente para um destinatário não confiável foi considerada um erro do usuário.
Cenários mais complexos e menos prováveis foram considerados válidos para reentrância, o que resultou na Uniswap considerar o vetor como de baixa probabilidade. O Cointelegraph entrou em contato com a Uniswap para obter mais detalhes sobre seu programa de recompensas em andamento, valores pagos e o número de bugs identificados até o momento.
As recompensas por bugs se tornaram comuns no espaço das criptomoedas e blockchain, à medida que plataformas e empresas procuram garantir a segurança de seus softwares, sistemas e infraestrutura.
Troca de criptomoedas Coinbase recentemente esclareceu os termos de sua recompensa de bug, enquanto a empresa de segurança blockchain Immunefi facilitou mais de $ 65 milhões no valor de recompensas de bugs entre hackers éticos e empresas Web3 em 2022.
Fonte: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability