Il nuovo programma bug bounty di Uniswap è stato un successo clamoroso, in quanto ha contribuito a scoprire e successivamente a risolvere una vulnerabilità esistente nel suo contratto intelligente per router universale.
I due nuovi contratti intelligenti, Permit2 e Universal Router, sono stati rilasciati nel novembre 2022. Attraverso la condivisione e la gestione dell'approvazione dei token, il contratto intelligente Permit2 garantisce alle applicazioni l'accesso a una serie di funzionalità di autorizzazione sicure. D'altra parte, Universal Router compila le transazioni ERC-20 e NFT in un singolo router di scambio, offrendo a Uniswap un metodo più efficiente per lo scambio tra vari tipi di criptovaluta.
Con l'introduzione di questi nuovi contratti intelligenti, Uniswap ha anche annunciato un programma di bug bounty che aiuterebbe la piattaforma a rilevare eventuali potenziali vulnerabilità. Mentre il mercato della valuta digitale e della blockchain continua a evolversi, i bug bounty sono diventati un modo per le aziende di garantire che il loro software, i loro sistemi e le loro infrastrutture critiche siano sicuri.
La società di revisione della sicurezza DeFi Dedaub è stata tra le prime a ricevere un sostanzioso premio per il lavoro svolto nell'identificazione di una vulnerabilità sul contratto intelligente del router universale. La vulnerabilità è stata contrassegnata come avente la capacità di consentire il rientro durante il tempo di conferma di una transazione, che potrebbe essere sfruttata dagli attori delle minacce per poi drenare i fondi di un portafoglio.
Il team Dedaub ha rivelato una vulnerabilità critica al team Uniswap!
I fondi sono al sicuro: Uniswap ha risolto il problema e ha ridistribuito gli smart contract di Universal Router su tutte le sue catene 👏
La vulnerabilità consente al rientro di drenare i fondi dell'utente, mid-tx.
— Dedaub (@dedaub) Gennaio 2, 2023
Dedaub spiega che l'Universal Router offre agli utenti l'opportunità di effettuare numerose transazioni contemporaneamente, come lo scambio di più token e NFT in una volta sola. Il linguaggio di scripting integrato del router è in grado di eseguire una vasta gamma di attività token, inclusi i trasferimenti a beneficiari esterni. Se eseguiti correttamente passo dopo passo, questi fondi verrebbero consegnati immediatamente se la transazione soddisfa i criteri stabiliti dai parametri del contratto intelligente.
In base alla progettazione, ciò significa che un codice di terze parti, se richiamato durante il trasferimento, potrebbe consentire al codice di rientrare nell'Universal Router e gestire o estrarre i token che si trovano sullo smart contract per un periodo temporaneo. Ciò ha spinto i whitehat di Dedaub a consigliare a Uniswap una risoluzione, che prevedeva l'applicazione di una patch allo smart contract con un blocco di rientro per il modulo di esecuzione principale di Universal Router.
Uniswap ha quindi assegnato rapidamente $ 40,000 al team Dedaub per la loro tempestiva divulgazione. Secondo Uniswap, il problema era di livello medio, mentre un'ulteriore valutazione della vulnerabilità indicava uno scenario a bassa probabilità e ad alto impatto. Dedaub conferma che il vettore di attacco può essere considerato un errore dell'utente finale, perché lo scenario si verificherebbe solo se un utente invia direttamente NFT a un destinatario non attendibile.
Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability