El programa de recompensas por errores lanzado recientemente por Uniswap ha llevado al descubrimiento de una vulnerabilidad ahora corregida del contrato inteligente del enrutador universal del protocolo.
El creador de mercado automatizado liberado dos nuevos contratos inteligentes para su plataforma en noviembre de 2022. Permit2 permite que las aprobaciones de tokens se compartan y administren entre diferentes aplicaciones, mientras que Universal Router unifica el ERC-20 y el intercambio de tokens no fungibles (NFT) en un solo enrutador de intercambio.
Uniswap también anunció un lucrativo programa de recompensas por errores para identificar posibles vulnerabilidades en sus contratos inteligentes hacia fines de 2022, ya que buscaba garantizar la seguridad y eficacia de su protocolo.
La empresa de seguridad y auditoría de contratos inteligentes Dedaub anunció que había recibido una recompensa por errores después de señalar una vulnerabilidad en el contrato inteligente del enrutador universal que habría permitido que el reingreso agotara los fondos de los usuarios a mitad de la transacción.
¡El equipo de Dedaub ha revelado una vulnerabilidad crítica al equipo de Uniswap!
Los fondos están seguros: Uniswap abordó el problema y volvió a implementar los contratos inteligentes de Universal Router en todas sus cadenas
La vulnerabilidad permite que la reentrada agote los fondos del usuario, mid-tx.
—Dedaub (@dedaub) Enero 2, 2023
Según el desglose de Dedaub, el enrutador universal permite a los usuarios realizar diversas acciones, incluido el intercambio de múltiples tokens y NFT en una sola transacción.
El enrutador incorpora un lenguaje de secuencias de comandos para una amplia variedad de acciones de token, que podrían incluir transferencias a destinatarios de terceros. Si se implementa correctamente, las transferencias irían al destinatario dentro de los parámetros especificados.
Relacionado: Immunefi dice que ha facilitado $ 66 millones en recompensas por errores desde el inicio
Sin embargo, Dedaub identificó una vulnerabilidad en la que se invocaba un código de terceros durante la transferencia, lo que permitía que el código volviera a ingresar al enrutador universal y reclamara los tokens que estaban temporalmente en el contrato.
Luego, Dedaub sugirió un remedio sencillo y aconsejó al equipo de Uniswap que agregara un bloqueo de reentrada a la ejecución central del nuevo enrutador. Uniswap otorgó a la firma de auditoría un total de $40,000 por señalar la vulnerabilidad. El monto incluía una bonificación del 33 % por informar el problema durante el período de bonificación de Uniswap en noviembre de 2022.
Uniswap clasificó el problema como de gravedad media, mientras que una evaluación posterior consideró que la vulnerabilidad tenía un impacto alto y una probabilidad baja. Según Dedaub, la posibilidad de que un usuario envíe directamente NFT a un destinatario que no es de confianza se consideró un error del usuario.
Los escenarios más complejos y menos probables se consideraron válidos para el reingreso, lo que resultó en que Uniswap considerara que el vector tenía una probabilidad baja. Cointelegraph se ha comunicado con Uniswap para conocer más detalles de su programa de recompensas en curso, los montos pagados y la cantidad de errores identificados hasta la fecha.
Las recompensas por errores se han convertido en un lugar común en el espacio de las criptomonedas y las cadenas de bloques, ya que las plataformas y las empresas buscan garantizar la seguridad de su software, sistemas e infraestructura.
Intercambio de criptomonedas Coinbase recientemente aclaró los términos de su recompensa por errores, mientras que la firma de seguridad blockchain Immunefi ha facilitó más de $ 65 millones recompensas por errores entre hackers éticos y empresas de Web3 en 2022.
Fuente: https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability