Güvenlik denetim firması Debaub, UniSwap (UNI) altcoin protokolündeki akıllı bir sözleşmede kritik bir güvenlik açığı keşfettikten sonra 40.000 dolar değerinde bir “bug ödülü” aldı.
Güvenlik Şirketi Debaub, UniSwap (UNI) Üzerindeki Kritik Bug’ı Keşfetti
Güvenlik açığı, kullanıcıların tek bir işlemde NFT’ler için birden fazla token takas etmesine olanak tanıyan yeni bir teknoloji ve script dili olan Uniswap’in Universal Router sözleşmesinde bulundu.
Debaub Twitter’da yaptığı açıklamada, güvenlik açığının transferler sırasında birisinin üçüncü taraf kodlarını uygulamasına ve fonları çalmasına izin verebileceğini söyledi.
Debaub’un kurucusu Yannis Smaragdakis, “Açıkçası, UniversalRouter işlemler sırasında hiçbir bakiye bulundurmamalıdır, aksi takdirde bu bakiyeler herhangi biri tarafından boşaltılabilir” diye yazdı.
However, if third-party code is invoked at any point in the transfer (which manifests itself due to composition of protocols), the code can reenter the UniversalRouter and claim any tokens temporarily in the contract.
— Dedaub (@dedaub) January 2, 2023
UniversalRouter sözleşmesi back end’de arka arkaya birkaç işlem komutu gerçekleştirebiliyor ve bu da kullanıcı deneyimini iyileştiriyor. Debaub, sözleşmenin re-entry kilidi olarak bilinen ve hackerların transferler sırasında fon çalmalarına olanak tanıyacak ek komutlar vermelerini engelleyen bir özelliğe sahip olmadığını tespit etti.
Debaub, birkaç hafta önce güvenlik açığını ilk bulduğunda Uniswap ekibinden anında onay aldığını söyledi. Hatanın keşfi için şirket 40.000 USDC aldı.
Uniswap, kullanıcıların Ethereum tabanlı tokenları takas etmesine olanak tanıyan merkeziyetsiz bir borsa protokolüdür. Kullanım kolaylığı ve düşük ücretleri nedeniyle son yıllarda popülerlik kazanmıştır. Debaub tarafından keşfedilen kritik güvenlik açığı, tespit edilip düzeltilmeseydi Uniswap kullanıcıları için ciddi sonuçlar doğurabilirdi.
Uniswap ekibi sorunu çözmek için hızla harekete geçti ve Debaub’u çabaları için bir bug ödülü ile ödüllendirdi.
*Yatırım tavsiyesi değildir.