Безбедносна фирма Дедауб открио и открио критичну рањивост на популарној Етхереум децентрализованој размени Унисвап. Тим који стоји иза протокола је исправио грешку, а захваћене компоненте су успешно поново распоређене—у супротном, нападач би могао да ублажи трансакције како би украо корисникова средства.
Унисвап избегава опасност и поправља нове функције
Према безбедносној фирми, рањивост је ненамерно имплементирана са универзалним рутером. Ова компонента омогућава корисницима Унисвап-а да размењују ЕРЦ-20 токене и токене који се не могу заменити „у један рутер за замену“.
Другим речима, корисници Унисвап-а могу оптимизовати своје операције и трговати више токена и НФТ-ова у једној трансакцији, штедећи време и новац. Ова нова компонента такође омогућава корисницима да преносе средства трећим лицима.
Када је рањивост постављена, корисник је могао да пошаље трансакцију трећој страни, а она је могла да добије приступ средствима пошиљаоца. Дедауб је објаснио следеће:
(…) ако се код треће стране позове у било ком тренутку преноса (што се манифестује због састава протокола), код може поново да уђе у УниверсалРоутер и затражи било које токене привремено у уговору (…). Нападач такође треба да примени код да би поново ушао у рутер (позивао екецуте) и почистио све количине токена. Рутер може да садржи средства усред трансакције због других радњи и трансфера у сложеној размени.
Универзални рутер држи средства пошиљаоца док је трансакција завршена. Док се то дешавало, средства су била рањива, а лош актер је могао да их исцрпи позивањем одређених команди као што је „диспеча“ са „.ТРАНСФЕР“ или. “.СВЕЕП.”
Рањивост је могла дозволити лошем актеру да „поновно уђе“ у трансакцију користећи ову команду. Када је ушао, нападач је могао да „исцеди цео износ“ из новчаника пошиљаоца.
Безбедносна фирма је додала следеће о „бесконачним сценаријима“ где је рањивост могла бити искоришћена:
Ако се непоуздани код позове у било ком тренутку преноса, код може поново да уђе у УниверсалРоутер и затражи све токене који су већ у уговору УниверсалРоутер. Такви токени могу, на пример, постојати зато што корисник намерава да касније купи НФТ, или пренесе токене другом примаоцу, или зато што корисник замени већу количину него што је потребно и намерава да „пребаци“ остатак себи на крају позив УниверсалРоутер. И нема мањка сценарија у којима се може позвати непоуздани прималац (...).
Етхереум ДЕКС даје награду од 3 милиона долара за грешке
У децембру 2022, Унисвап је лансирао универзални рутер као део њихове нове НФТ компатибилности. У то време, Унисвап Лабс је најавио програм награде од 3 милиона долара. Дедауб је добио овај износ за њихов извештај о грешци на новој компоненти.
Фирма је славила награду и чињеницу да лош глумац никада није искористио рањивост. Поред тога, безбедносна фирма је била „једини извештај о грешци на који је Унисвап деловао“.
2022. је била проблематична година за криптовалуте и ризична средства, док су макроекономске силе играле против сектора у настајању. Корисници су искусили препреке осим пада цена јер су хакери и лоши актери узели милијарде од индустрије.
Подаци из Фирма за анализу на ланцу Цхаиналисис тврди да су лоши актери само од 26. до 2017. примили преко 2021 милијарди долара у криптовалути. Остаје да се види да ли ће 2023. продужити или ублажити овај тренд.
Од овог писања, УНИ-јева цена се тргује на 5.70 долара са бочним кретањем на дневном графикону.
Извор: хттпс://невсбтц.цом/невс/унисвап/унисвап-савед-вулнерабилити-сецурити-фирм/