Il team di Dedaub ha recentemente rivelato una vulnerabilità sui contratti UniSwap che avrebbe potuto mettere in pericolo alcuni utenti.
La vulnerabilità UniSwap
In un recente tweet, Dedaub ha rivelato di aver scoperto un bug sui contratti UniSwap e li ha informati della vulnerabilità. Quando è stato ricevuto il feedback, "UniSwap ha risolto il problema e ha ridistribuito gli smart contract di Universal Router su tutte le sue catene".
Secondo il Twittato da Dedaub, questa vulnerabilità ha spianato la strada agli attacchi di rientro, che avrebbero prosciugato i fondi degli utenti. Il team di Dedaub ha spiegato come uno o più attaccanti avrebbero utilizzato questa vulnerabilità.
La nascita di questa vulnerabilità risale a novembre quando UniSwap ha presentato il suo router universale. Questo router unifica lo scambio NFT ed ERC-20 in un unico router di scambio. L'obiettivo era aiutare gli utenti a eseguire più azioni come lo scambio di più NFT e token in un'unica transazione.
Se usati correttamente, i comandi Universal Router invieranno l'importo specificato al destinatario specificato. Tuttavia, se durante il trasferimento viene chiamato un codice di terze parti, può rientrare nel router e richiedere i token nel contratto. Ciò è dovuto principalmente al fatto che l'Universal Router manteneva i saldi tra le transazioni.
Nel loro Proof-of-Concept, il team Dedaub ha notato che l'attaccante potrebbe aggiungere un comando SWEEP per tutti i token rimanenti dopo l'invio degli importi iniziali. Come parte della transazione, il destinatario potrebbe drenare rapidamente l'intero importo.
Il team di Uniswap ha agito in fretta
Il team di Dedaub ha immediatamente informato il team di UniSwap della possibilità di un simile attacco. Hanno consigliato al team di Uniswap di incorporare un blocco di rientro nel loro nuovo router prima della distribuzione.
Uniswap ha affrontato la questione all'istante, apportando gli aggiustamenti necessari prima di adottare il contratto. Uniswap ha assegnato il Dedaub squadra una taglia di bug di $ 40 per dimostrare il loro impegno per la sicurezza delle persone. Tuttavia, il team di Uniswap ha valutato il problema come un evento ad alto impatto ma a bassa probabilità. Quindi, questo potrebbe verificarsi in scenari molto complessi.
I Protocollo DEX UniSwap ha generalmente familiarità con gli attacchi di rientro. Nel 2020 sono emerse notizie secondo cui il DEX, insieme a Lendf.me, ha perso $ 25 milioni in un semplice attacco di rientro. La rete ha subito anche altri attacchi come l'hacking. Nel luglio 2022, gli hacker hanno incassato 8 milioni di dollari ETH utilizzando un attacco di phishing.
Fonte: https://crypto.news/uniswap-universal-router-was-vulnerable-to-re-entrancy-attacks/