Die Sicherheitsfirma Dedaub hat eine kritische Sicherheitslücke auf dem populären entdeckt und offengelegt Ethereum dezentraler Austausch Uniswap. Das Team hinter dem Protokoll hat den Fehler behoben und die betroffenen Komponenten wurden erfolgreich neu bereitgestellt – andernfalls hätte ein Angreifer Transaktionen manipulieren können, um die Gelder eines Benutzers zu stehlen.
Uniswap Vermeidet Gefahren und behebt neue Funktionen
Laut der Sicherheitsfirma wurde die Schwachstelle unbeabsichtigt mit dem Universal Router implementiert. Diese Komponente ermöglicht Uniswap Benutzer können ERC-20-Token und nicht fungible Token „in einem einzigen Swap-Router“ handeln.
Mit anderen Worten, Uniswap Benutzer können ihre Abläufe optimieren und mehrere Token und NFTs in einer einzigen Transaktion handeln, was Zeit und Geld spart. Diese neue Komponente ermöglicht es Benutzern auch, Gelder an Dritte zu überweisen.
Wenn die Schwachstelle vorhanden war, konnte ein Benutzer eine Transaktion an einen Dritten senden, und letzterer hätte Zugriff auf die Gelder des Absenders erhalten können. Dedaub erklärte Folgendes:
(…) Wenn an irgendeinem Punkt der Übertragung Code von Drittanbietern aufgerufen wird (was sich durch die Zusammensetzung von Protokollen manifestiert), kann der Code erneut in den UniversalRouter gelangen und alle Token vorübergehend im Vertrag beanspruchen (…). Der Angreifer muss außerdem Code implementieren, um erneut in den Router einzudringen (Ausführen aufrufen) und alle Token-Beträge abzuwischen. Der Router kann aufgrund anderer Aktionen und Übertragungen in einem komplexen Swap Mittel während der Transaktion enthalten.
Der Universal Router hält die Gelder des Absenders, während die Transaktion abgeschlossen ist. Während dies geschah, waren die Gelder angreifbar, und ein schlechter Akteur konnte sie abschöpfen, indem er bestimmte Befehle wie „Dispatch“ mit einem „.TRANSFER“ oder „.Transfer“ aufrief. “.FEGEN.”
Die Schwachstelle hätte es einem böswilligen Akteur ermöglichen können, eine Transaktion mit diesem Befehl „neu einzugeben“. Einmal drinnen, hätte der Angreifer in der Lage sein können, „den gesamten Betrag“ aus der Brieftasche des Absenders zu ziehen.
Die Sicherheitsfirma fügte Folgendes zu den „endlosen Szenarien“ hinzu, in denen die Schwachstelle hätte ausgenutzt werden können:
Wenn zu irgendeinem Zeitpunkt der Übertragung nicht vertrauenswürdiger Code aufgerufen wird, kann der Code den UniversalRouter erneut eingeben und alle Token beanspruchen, die sich bereits im UniversalRouter-Vertrag befinden. Solche Token können beispielsweise existieren, weil der Benutzer beabsichtigt, später einen NFT zu kaufen oder Token an einen zweiten Empfänger zu übertragen, oder weil der Benutzer einen größeren Betrag als benötigt tauscht und beabsichtigt, den Rest am Ende für sich selbst zu „fegen“. der UniversalRouter-Aufruf. Und es gibt keinen Mangel an Szenarien, in denen ein nicht vertrauenswürdiger Empfänger angerufen werden kann (…).
Ethereum DEX gewährt Bug Bounty in Höhe von 3 Millionen US-Dollar
Im Dezember 2022, Uniswap hat den Universal Router als Teil ihrer neuen NFT-Kompatibilität eingeführt. Damals, Uniswap Labs kündigte ein 3-Millionen-Dollar-Bounty-Programm an. Dedaub wurde dieser Betrag für ihren Fehlerbericht zu der neuen Komponente gewährt.
Die Firma feierte die Belohnung und die Tatsache, dass ein schlechter Akteur die Schwachstelle nie ausgenutzt hat. Außerdem sei die Sicherheitsfirma „der einzige Fehlerbericht, der das Uniswap handelte danach.”
2022 war ein schwieriges Jahr für Krypto- und Risikoanlagen, während makroökonomische Kräfte gegen den aufstrebenden Sektor spielten. Die Benutzer erlebten Hürden, die über sinkende Preise hinausgingen, da Hacker und schlechte Schauspieler der Branche Milliarden abnahmen.
Quelle: Kettenanalyse
Daten des On-Chain-Analyseunternehmens Chainalysis behaupten, dass schlechte Akteure allein von 2017 bis 2021 über 26 Milliarden Dollar in Kryptowährung erhalten haben. Es bleibt abzuwarten, ob 2023 diesen Trend fortsetzen oder abschwächen wird.
Der Kurs von UNI bewegt sich auf dem Tages-Chart seitwärts. Quelle: UNIUSDT Handelsansicht
Zum jetzigen Zeitpunkt wird der Kurs von UNI bei 5,70 $ gehandelt, mit einer Seitwärtsbewegung auf dem Tages-Chart.
