UniSwap әмбебап маршрутизаторы қайта кіру шабуылдарына осал болды

Бұл осалдықтың тууы қараша айында басталады UniSwap өзінің әмбебап маршрутизаторын ұсынды. Бұл маршрутизатор NFT және ERC-20 своптарын бір своп маршрутизаторға біріктіреді. Мақсат пайдаланушыларға бір транзакцияда бірнеше NFT және таңбалауыштарды ауыстыру сияқты бірнеше әрекеттерді орындауға көмектесу болды. 

Дұрыс пайдаланылған кезде әмбебап маршрутизатордың командалары көрсетілген соманы көрсетілген алушыға жібереді. Алайда, егер тасымалдау кезінде үшінші тарап коды шақырылса, ол маршрутизаторға қайта кіріп, келісім-шарттағы белгілерді талап ете алады. Бұл, негізінен, әмбебап маршрутизатор транзакциялар арасындағы теңгерімдерді ұстайтындығына байланысты. 

«Тұжырымдаманың дәлелі» кітабында Dedaub тобы шабуылдаушы бастапқы сомалар жіберілгеннен кейін қалған барлық белгілер үшін SWEEP пәрменін қоса алатынын атап өтті. Транзакцияның бір бөлігі ретінде алушы бүкіл соманы жылдам төге алады.

Uniswap командасы жылдам әрекет етті

Дедаубтың командасы UniSwap командасына мұндай шабуылдың ықтималдығы туралы дереу хабарлады. Олар Uniswap командасына орналастырмас бұрын жаңа маршрутизаторға қайта кіру құлпын енгізуге кеңес берді. 

Uniswap келісім-шартты қабылдағанға дейін қажетті түзетулер енгізіп, мәселені бірден шешті. Uniswap Dedaub сыйлығымен марапатталды жеке адамдардың қауіпсіздігіне адалдығын көрсету үшін $40 мың қате сыйлығын алыңыз. Дегенмен, Uniswap командасы мәселені жоғары әсер ететін, бірақ ықтималдығы төмен оқиға ретінде бағалады. Демек, бұл өте күрделі сценарийлерде орын алуы мүмкін.

The DEX протоколы UniSwap әдетте қайта кіру шабуылдарымен таныс. 2020 жылы DEX Lendf.me сайтымен бірге қарапайым қайта кіру шабуылынан 25 миллион доллар жоғалтқаны туралы есептер пайда болды. Сондай-ақ, желі бұзу сияқты басқа шабуылдарға ұшырады. 2022 жылдың шілдесінде хакерлер 8 миллион долларды басып алды ETH фишингтік шабуылды пайдалану.

Бізді Google жаңалықтарында бақылаңыз