El programa de recompensas por errores recientemente implementado por Uniswap ha sido un gran éxito, ya que ayudó a descubrir y, posteriormente, a resolver una vulnerabilidad existente en su contrato inteligente Universal Router.
Los dos nuevos contratos inteligentes, Permit2 y Universal Router, se lanzaron en noviembre de 2022. A través de la gestión y el intercambio de aprobación de tokens, el contrato inteligente Permit2 otorga a las aplicaciones acceso a una variedad de capacidades de autorización segura. Por otro lado, Universal Router compila las transacciones ERC-20 y NFT en un solo enrutador de intercambio, lo que brinda a Uniswap un método más eficiente para intercambiar entre varios tipos de criptomonedas.
Con la introducción de estos nuevos contratos inteligentes, Uniswap también anunció un programa de recompensas por errores que ayudaría a la plataforma a detectar posibles vulnerabilidades. A medida que el mercado de la moneda digital y la cadena de bloques continúa evolucionando, las recompensas por errores se han convertido en una forma para que las empresas garanticen la seguridad de su software, sistemas e infraestructura crítica.
La firma de auditoría de seguridad DeFi, Dedaub, fue una de las primeras en recibir un importante premio por su trabajo en la identificación de una vulnerabilidad en el contrato inteligente del enrutador universal. Se señaló que la vulnerabilidad tenía la capacidad de permitir el reingreso durante el tiempo de confirmación de una transacción, lo que podría ser explotado por los actores de amenazas para luego drenar los fondos de una billetera.
¡El equipo de Dedaub ha revelado una vulnerabilidad crítica al equipo de Uniswap!
Los fondos están seguros: Uniswap abordó el problema y volvió a implementar los contratos inteligentes del enrutador universal en todas sus cadenas 👏
La vulnerabilidad permite que la reentrada agote los fondos del usuario, mid-tx.
—Dedaub (@dedaub) Enero 2, 2023
Dedaub explica que el enrutador universal brinda a los usuarios la oportunidad de realizar numerosas transacciones a la vez, como intercambiar múltiples tokens y NFT de una sola vez. El lenguaje de secuencias de comandos integrado del enrutador es capaz de una amplia gama de actividades de token, incluidas las transferencias a beneficiarios externos. Cuando se hace correctamente paso a paso, estos fondos se entregarán de inmediato si la transacción cumple con los criterios establecidos por los parámetros del contrato inteligente.
Por diseño, esto significa que un código de terceros, cuando se invoca durante la transferencia, podría permitir que el código vuelva a ingresar al enrutador universal y administre o extraiga tokens que están en el contrato inteligente por un período temporal. Esto llevó a los whitehats de Dedaub a informar a Uniswap sobre una resolución, que implicaba parchear el contrato inteligente con un bloqueo de reingreso para el módulo de ejecución central de Universal Router.
Uniswap luego otorgó rápidamente $ 40,000 al equipo de Dedaub por su pronta divulgación. Según Uniswap, el problema era de gravedad de nivel medio, mientras que una evaluación adicional de la vulnerabilidad apuntaba a un escenario de alto impacto y pocas posibilidades. Dedaub confirma que el vector de ataque puede considerarse como un error del usuario, porque el escenario solo sucedería si un usuario envía NFT directamente a un destinatario que no es de confianza.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability