Uniswap ၏ မကြာသေးမီက ထွက်ရှိခဲ့သော bug bounty ပရိုဂရမ်သည် ပရိုတိုကောလ်၏ Universal Router စမတ်စာချုပ်၏ ယခုပြင်ဆင်ထားသော အားနည်းချက်ကို ရှာဖွေတွေ့ရှိခဲ့သည်။
အလိုအလျောက်စျေးကွက်ထုတ်လုပ်သူ ဖြန့်ချိ 2022 ခုနှစ် နိုဝင်ဘာလတွင် ၎င်း၏ပလပ်ဖောင်းသို့ စမတ်ကျသည့် စာချုပ်အသစ်နှစ်ခုကို Permit2 မှ ခွင့်ပြုပေးပါသည်။ Permit20 သည် မတူညီသော အပလီကေးရှင်းများတစ်လျှောက် တိုကင်ခွင့်ပြုချက်များကို မျှဝေပြီး စီမံခန့်ခွဲနိုင်စေကာမူ Universal Router သည် ERC-XNUMX နှင့် nonfungible tokens (NFTs) များကို တစ်ခုတည်းသော swap router သို့ ပေါင်းစည်းပေးပါသည်။
Uniswap သည် ၎င်း၏ပရိုတိုကော၏ ဘေးကင်းမှုနှင့် ထိရောက်မှုတို့ကို အာမခံရန် ရည်ရွယ်ထားသောကြောင့် 2022 ခုနှစ်ကုန်ခါနီးတွင် ၎င်း၏စမတ်စာချုပ်များတွင် ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များကို ရှာဖွေဖော်ထုတ်ရန် အကျိုးအမြတ်များသော bug bounty ပရိုဂရမ်ကိုလည်း ကြော်ငြာခဲ့သည်။
စမတ်ကန်ထရိုက်လုံခြုံရေးနှင့် စာရင်းစစ်ကုမ္ပဏီ Dedaub သည် အသုံးပြုသူ၏ငွေကြေးလွှဲပြောင်းမှုကို အလယ်အလတ်ငွေကြေးများ ဖြုန်းတီးစေမည့် Universal Router စမတ်စာချုပ်တွင် အားနည်းချက်တစ်ခုကို အလံပြပြီးနောက် bug ဘောနပ်စ်ကို ရရှိထားကြောင်း ကြေညာခဲ့သည်။
Dedaub အဖွဲ့သည် Uniswap အဖွဲ့အတွက် အရေးကြီးသော အားနည်းချက်တစ်ခုကို ထုတ်ဖော်ခဲ့သည်။
ရန်ပုံငွေများသည် ဘေးကင်းသည် - Uniswap သည် ပြဿနာကို ဖြေရှင်းခဲ့ပြီး ၎င်း၏ ကွင်းဆက်များအားလုံးတွင် Universal Router စမတ်စာချုပ်များကို ပြန်လည်အသုံးချခဲ့သည်။
အားနည်းချက်သည် အသုံးပြုသူ၏ ရန်ပုံငွေများဖြစ်သော mid-tx ကို ပြန်လည်ဝင်ရောက်ခွင့်ကို ခွင့်ပြုပေးပါသည်။
— Dedaub (@dedaub) ဇန်နဝါရီလ 2, 2023
Dedaub ၏ခွဲခြမ်းစိတ်ဖြာချက်အရ Universal Router သည် သုံးစွဲသူများအား ငွေပေးငွေယူတစ်ခုတွင် တိုကင်များစွာနှင့် NFTs အများအပြားကို လဲလှယ်ခြင်းအပါအဝင် ကွဲပြားသောလုပ်ဆောင်ချက်များကို လုပ်ဆောင်နိုင်စေပါသည်။
ပြင်ပလက်ခံသူများထံသို့ လွှဲပြောင်းခြင်းများ ပါဝင်နိုင်သည့် တိုကင်လုပ်ဆောင်ချက်များစွာအတွက် router သည် scripting language တစ်ခုကို မြှုပ်နှံထားသည်။ မှန်ကန်စွာ အကောင်အထည်ဖော်ပါက၊ လွှဲပြောင်းမှုများသည် သတ်မှတ်ထားသော ဘောင်များအတွင်း လက်ခံသူထံသို့ ရောက်သွားမည်ဖြစ်သည်။
Related: စတင်ကတည်းက bug bug များ အတွက် $66M ကို ကူညီပံ့ပိုးပေးခဲ့သည်ဟု Immunefi မှပြောကြားခဲ့သည်။
သို့သော်၊ Dedaub သည် လွှဲပြောင်းမှုအတွင်း ပြင်ပကုဒ်ကို ခေါ်ဆိုခဲ့သည့် အားနည်းချက်တစ်ခုကို ဖော်ထုတ်ခဲ့ပြီး၊ ကုဒ်အား Universal Router သို့ ပြန်လည်ထည့်သွင်းရန်နှင့် စာချုပ်တွင် ယာယီပါရှိသော မည်သည့်တိုကင်များကိုမဆို တောင်းဆိုခွင့်ပြုခဲ့သည်။
ထို့နောက် Dedaub သည် Router အသစ်၏ အဓိကလုပ်ဆောင်မှုတွင် ပြန်လည်ဝင်ရောက်ခြင်းသော့ခတ်မှုကို ထည့်သွင်းရန် Uniswap အဖွဲ့အား အကြံပြုခဲ့သည်။ Uniswap သည် အားနည်းချက်ကို သက်သေပြရန်အတွက် စာရင်းစစ်ကုမ္ပဏီအား စုစုပေါင်း $40,000 ချီးမြှင့်ခဲ့သည်။ 33 ခုနှစ် နိုဝင်ဘာလတွင် Uniswap ၏ ဘောနပ်စ်ကာလအတွင်း ပြဿနာကို သတင်းပို့ခြင်းအတွက် 2022% ဘောနပ်စ်ပမာဏတွင် ပါဝင်သည်။
Uniswap သည် ပြဿနာကို အလယ်အလတ်ပြင်းထန်မှုအဖြစ် ခွဲခြားသတ်မှတ်ထားပြီး နောက်ထပ်အကဲဖြတ်မှုတွင် သက်ရောက်မှုမြင့်မားပြီး ဖြစ်နိုင်ခြေနည်းရန် အားနည်းချက်ရှိသည်ဟု မှတ်ယူထားသည်။ Dedaub ၏အဆိုအရ၊ အသုံးပြုသူတစ်ဦးသည် ယုံကြည်စိတ်ချရသောလက်ခံသူထံသို့ NFTs များတိုက်ရိုက်ပေးပို့ခြင်း၏ဖြစ်နိုင်ခြေကို အသုံးပြုသူအမှားဟုယူဆပါသည်။
ပိုမိုရှုပ်ထွေးပြီး ဖြစ်နိုင်ခြေနည်းသော အခြေအနေများကို ပြန်လည်ဝင်ရောက်ခြင်းအတွက် အကျုံးဝင်သည်ဟု Uniswap မှ ရလဒ်ထွက်ဆိုချက်တွင် ဖြစ်နိုင်ခြေနည်းသည်ဟု Uniswap မှ ယူဆပါသည်။ Cointelegraph သည် ၎င်း၏ဆက်လက်လုပ်ဆောင်နေသောဆုငွေအစီအစဉ်၏နောက်ထပ်အသေးစိတ်အချက်အလက်များကိုသိရှိရန်၊ ပေးချေသည့်ပမာဏများနှင့်ယနေ့အထိသတ်မှတ်ထားသော bugs အရေအတွက်ကိုသေချာစေရန်အတွက် Cointelegraph ထံ ဆက်သွယ်ခဲ့သည်။
ပလက်ဖောင်းများနှင့်ကုမ္ပဏီများသည် ၎င်းတို့၏ဆော့ဖ်ဝဲလ်၊ စနစ်များနှင့် အခြေခံအဆောက်အအုံများ၏လုံခြုံရေးကိုသေချာစေရန်အတွက် ပလပ်ဖောင်းများနှင့်ကုမ္ပဏီများကရှာဖွေနေသောကြောင့် bug များ အပိုဆုကြေးများသည် cryptocurrency နှင့် blockchain space တွင်သာမန်အဖြစ်များလာသည်။
မကြာသေးမီက Cryptocurrency လဲလှယ်မှု Coinbase ၎င်း၏ bug bug ၏စည်းကမ်းချက်များကိုရှင်းလင်းခဲ့သည်။blockchain လုံခြုံရေးကုမ္ပဏီ Immunefi တွင်ရှိနေစဉ် ဒေါ်လာ ၆၅ သန်းကျော် ကူညီဆောင်ရွက်ပေးခဲ့သည်။ 3 တွင် ကျင့်ဝတ်ဆိုင်ရာဟက်ကာများနှင့် Web2022 ကုမ္ပဏီများကြားတွင် bug အပိုဆုကြေးများ
အရင်းအမြစ်- https://cointelegraph.com/news/defi-auditor-nets-40-000-for-identifying-uniswap-vulnerability