O programa de recompensas de bugs recém-implementado pela Uniswap tem sido um sucesso estrondoso, pois ajudou a descobrir e, subsequentemente, resolver uma vulnerabilidade existente em seu contrato inteligente de roteador universal.
Os dois novos contratos inteligentes, Permit2 e Universal Router, foram lançados em novembro de 2022. Por meio do compartilhamento e gerenciamento de aprovação de token, o contrato inteligente Permit2 concede aos aplicativos acesso a uma variedade de recursos de autorização seguros. Por outro lado, o Universal Router compila transações ERC-20 e NFT em um único roteador de troca, dando ao Uniswap um método mais eficiente para troca entre vários tipos de criptomoeda.
Com a introdução desses novos contratos inteligentes, a Uniswap também anunciou um programa de recompensas de bugs que ajudaria a plataforma a detectar possíveis vulnerabilidades. À medida que o mercado de moeda digital e blockchain continua a evoluir, recompensas por bugs se tornaram uma forma de as empresas garantirem que seus softwares, sistemas e infraestrutura crítica estejam seguros.
A empresa de auditoria de segurança DeFi, Dedaub, foi uma das primeiras a receber um grande prêmio por seu trabalho na identificação de uma vulnerabilidade no contrato inteligente do roteador universal. A vulnerabilidade foi sinalizada como tendo a capacidade de permitir a reentrada durante o tempo de confirmação de uma transação, que pode ser explorada por agentes de ameaças para drenar os fundos de uma carteira.
A equipe Dedaub divulgou uma vulnerabilidade crítica para a equipe Uniswap!
Os fundos estão seguros – a Uniswap resolveu o problema e reimplantou os contratos inteligentes do Universal Router em todas as suas cadeias 👏
A vulnerabilidade permite que a reentrada drene os fundos do usuário, no meio do tx.
- Dedaub (@dedaub) 2 de janeiro de 2023
Dedaub explica que o Universal Router oferece aos usuários a oportunidade de fazer várias transações ao mesmo tempo, como trocar vários tokens e NFTs de uma só vez. A linguagem de script integrada do roteador é capaz de realizar uma vasta gama de atividades de token, incluindo transferências para beneficiários externos. Quando feito corretamente passo a passo, esses fundos seriam entregues imediatamente caso a transação atendesse aos critérios definidos pelos parâmetros do contrato inteligente.
Por design, isso significa que um código de terceiros, quando invocado durante a transferência, pode permitir que o código entre novamente no roteador universal e gerencie ou extraia tokens que estão no contrato inteligente por um período temporário. Isso levou os whitehats da Dedaub a avisar a Uniswap sobre uma resolução, que envolvia corrigir o contrato inteligente com um bloqueio de reentrada para o módulo de execução central do Universal Router.
A Uniswap então concedeu rapidamente $ 40,000 à equipe Dedaub por sua pronta divulgação. De acordo com a Uniswap, o problema era de gravidade média, enquanto uma avaliação mais aprofundada da vulnerabilidade apontava para um cenário de baixa chance e alto impacto. Dedaub confirma que o vetor de ataque pode ser considerado um erro do usuário final, porque o cenário só aconteceria se um usuário enviasse NFTs diretamente para um destinatário não confiável.
Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability