-Advertisement-
El reciente programa de recompensas por fallos de Uniswap ha permitido descubrir una vulnerabilidad ya corregida del contrato inteligente Universal Router del protocolo.
El creador de mercado automatizado publicado dos nuevos contratos inteligentes a su plataforma en noviembre de 2022. Permit2 permite que las aprobaciones de tokens se compartan y gestionen a través de diferentes aplicaciones, mientras que Universal Router unifica el intercambio de tokens ERC-20 y no fungibles (NFT) en un único router de intercambio.
Uniswap también anunció un lucrativo programa de recompensas por errores para identificar posibles vulnerabilidades en sus contratos inteligentes hacia finales de 2022, ya que buscaba garantizar la seguridad y eficacia de su protocolo.
La empresa de seguridad y auditoría de contratos inteligentes Dedaub anunció que había recibido una recompensa por errores tras detectar una vulnerabilidad en el contrato inteligente Universal Router que habría permitido que la reentrada drenara los fondos del usuario a mitad de la transacción.
El equipo de Dedaub ha revelado una vulnerabilidad crítica al equipo de Uniswap.
Los fondos están a salvo – Uniswap solucionó el problema y redistribuyó los contratos inteligentes Universal Router en todas sus cadenas.
La vulnerabilidad permite a la reentrada drenar los fondos del usuario, a mitad de la transacción.
– Dedaub (@dedaub) 2 de enero de 2023
Según el desglose de Dedaub, el router universal permite a los usuarios realizar diversas acciones, incluido el intercambio de varios tokens y NFT en una sola transacción.
El enrutador incorpora un lenguaje de scripting para una amplia variedad de acciones con tokens, que podrían incluir transferencias a terceros destinatarios. Si se implementa correctamente, las transferencias irían al destinatario dentro de los parámetros especificados.
Relacionado: Immunefi dice que ha facilitado 66 millones de dólares en recompensas por fallos desde su creación
Sin embargo, Dedaub identificó una vulnerabilidad en la que se invocaba un código de terceros durante la transferencia, lo que permitía al código volver a entrar en el router universal y reclamar cualquier token que estuviera temporalmente en el contrato.
Dedaub sugirió entonces un remedio sencillo, aconsejando al equipo de Uniswap que añadiera un bloqueo de reentrada a la ejecución del núcleo del nuevo enrutador. Uniswap concedió a la empresa auditora un total de 40.000 dólares por señalar la vulnerabilidad. La cantidad incluía una bonificación del 33% por informar del problema durante el periodo de bonificaciones de Uniswap en noviembre de 2022.
Uniswap clasificó el problema como de gravedad media, mientras que una evaluación posterior consideró que la vulnerabilidad tenía un impacto alto y una probabilidad baja. Según Dedaub, la posibilidad de que un usuario enviara directamente NFT a un destinatario no fiable se consideró un error del usuario.
Escenarios más complejos y menos probables se consideraron válidos para la reentrada, lo que dio lugar a que Uniswap considerara que el vector tenía una probabilidad baja. Cointelegraph se ha puesto en contacto con Uniswap para conocer más detalles sobre su programa de recompensas en curso, las cantidades pagadas y el número de fallos identificados hasta la fecha.
Las recompensas por fallos se han convertido en algo habitual en el espacio de las criptomonedas y el blockchain, ya que las plataformas y las empresas buscan garantizar la seguridad de su software, sistemas e infraestructura.
La bolsa de criptomonedas Coinbase aclaró recientemente los términos de su recompensa por fallos, mientras que la empresa de seguridad de blockchain Immunefi ha facilitado recompensas por fallos por valor de más de 65 millones de dólares entre hackers éticos y empresas Web3 en 2022.
Source: COIN TELEGRAPH