Uniswap ၏အသစ်အကောင်အထည်ဖော်လိုက်သော bug bounty ပရိုဂရမ်သည် ၎င်း၏ Universal Router စမတ်စာချုပ်တွင် ရှိပြီးသားအားနည်းချက်ကို ဖော်ထုတ်ပြီး နောက်ပိုင်းတွင် ဖြေရှင်းရန် ကူညီပေးသောကြောင့် အကြီးအကျယ်အောင်မြင်ခဲ့သည်။
စမတ်စာချုပ်အသစ်နှစ်ခုဖြစ်သည့် Permit2 နှင့် Universal Router တို့ကို 2022 ခုနှစ် နိုဝင်ဘာလတွင် ပြန်လည်ထုတ်ဝေခဲ့သည်။ တိုကင်ခွင့်ပြုချက်မျှဝေခြင်းနှင့် စီမံခန့်ခွဲခြင်းမှတစ်ဆင့် Permit2 စမတ်စာချုပ်သည် အက်ပ်လီကေးရှင်းများအား လုံခြုံသောခွင့်ပြုချက်ပေးစွမ်းနိုင်မှုအခင်းအကျင်းကို အသုံးပြုခွင့်ပေးသည်။ အခြားတစ်ဖက်တွင်၊ Universal Router သည် ERC-20 နှင့် NFT အရောင်းအ၀ယ်များကို single swap router တွင်စုစည်းပြီး Uniswap သည် cryptocurrency အမျိုးအစားအမျိုးမျိုးအကြားဖလှယ်ရန်အတွက်ပိုမိုထိရောက်သောနည်းလမ်းကိုပေးစွမ်းသည်။
အဆိုပါ စမတ်စာချုပ်အသစ်များကို မိတ်ဆက်ခြင်းဖြင့် Uniswap သည် ပလပ်ဖောင်းတွင် ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များကို သိရှိနိုင်စေရန် ကူညီပေးမည့် bug bounty ပရိုဂရမ်ကိုလည်း ကြေညာခဲ့သည်။ ဒစ်ဂျစ်တယ်ငွေကြေးနှင့် blockchain စျေးကွက်သည် ဆက်လက်တိုးတက်ပြောင်းလဲလာသည်နှင့်အမျှ၊ bug အပိုဆုများသည် ကုမ္ပဏီများအတွက် ၎င်းတို့၏ဆော့ဖ်ဝဲလ်၊ စနစ်များနှင့် အရေးကြီးသောအခြေခံအဆောက်အအုံများ လုံခြုံကြောင်းသေချာစေရန်အတွက် နည်းလမ်းတစ်ခုဖြစ်လာသည်။
DeFi လုံခြုံရေးစာရင်းစစ်ကုမ္ပဏီ Dedaub သည် Universal Router စမတ်ကန်ထရိုက်တွင် အားနည်းချက်တစ်ခုကို ဖော်ထုတ်ခြင်းအတွက် ၎င်းတို့၏လုပ်ဆောင်မှုအတွက် ကြီးကြီးမားမားဆုချီးမြှင့်သည့် ပထမဆုံးသော လုပ်ငန်းတစ်ခုဖြစ်သည်။ ငွေပေးငွေယူ၏ အတည်ပြုချိန်အတွင်း ပြန်လည်ဝင်ရောက်ခွင့်ကို ခွင့်ပြုနိုင်စွမ်းရှိခြင်းကြောင့် အားနည်းချက်ကို အလံပြထားပြီး၊ ၎င်းသည် ပိုက်ဆံအိတ်၏ရန်ပုံငွေများကို ထုတ်ယူရန်အတွက် ခြိမ်းခြောက်မှုများ လုပ်ဆောင်သူများထံမှ အသုံးချခံရနိုင်သည်။
Dedaub အဖွဲ့သည် Uniswap အဖွဲ့အတွက် အရေးကြီးသော အားနည်းချက်တစ်ခုကို ထုတ်ဖော်ခဲ့သည်။
ရန်ပုံငွေများသည် ဘေးကင်းသည် - Uniswap သည် အဆိုပါပြဿနာကို ဖြေရှင်းခဲ့ပြီး ၎င်း၏ ကွင်းဆက်များအားလုံးတွင် Universal Router စမတ်စာချုပ်များကို ပြန်လည်အသုံးချခဲ့သည်။
အားနည်းချက်သည် အသုံးပြုသူ၏ ရန်ပုံငွေများဖြစ်သော mid-tx ကို ပြန်လည်ဝင်ရောက်ခွင့်ကို ခွင့်ပြုပေးပါသည်။
— Dedaub (@dedaub) ဇန်နဝါရီလ 2, 2023
Universal Router သည် သုံးစွဲသူများအား တိုကင်များစွာနှင့် NFTs အများအပြားကို တစ်ကြိမ်တည်းလဲလှယ်ခြင်းကဲ့သို့သော ငွေပေးငွေယူမြောက်မြားစွာကို တစ်ပြိုင်နက်တည်းပြုလုပ်ရန် အခွင့်အရေးပေးကြောင်း Dedaub မှရှင်းပြသည်။ Router ၏ ပေါင်းစပ်ထားသော scripting language သည် ပြင်ပငွေပေးချေသူများထံသို့ လွှဲပြောင်းခြင်းအပါအဝင် တိုကင်လှုပ်ရှားမှုများစွာကို လုပ်ဆောင်နိုင်စွမ်းရှိသည်။ တစ်ဆင့်ပြီးတစ်ဆင့် မှန်ကန်စွာလုပ်ဆောင်သောအခါ၊ အဆိုပါငွေများကို စမတ်ကန်ထရိုက်၏ ကန့်သတ်သတ်မှတ်ချက်များဖြင့် သတ်မှတ်ထားသည့် စံနှုန်းများနှင့် ကိုက်ညီပါက အဆိုပါငွေများကို ချက်ချင်း လွှဲပြောင်းပေးမည်ဖြစ်သည်။
ဒီဇိုင်းအားဖြင့်၊ ဆိုလိုသည်မှာ လွှဲပြောင်းစဉ်အတွင်း တတိယအပိုင်းကုဒ်တစ်ခုသည် ကုဒ်အား Universal Router သို့ ပြန်လည်ထည့်သွင်းရန်နှင့် စမတ်စာချုပ်တွင်ပါရှိသော တိုကင်များကို ယာယီကာလတစ်ခုအတွက် စီမံရန် သို့မဟုတ် ဆွဲထုတ်နိုင်သည်ဟု ဆိုလိုသည်။ ယင်းက Universal Router ၏ core execution module အတွက် စမတ်စာချုပ်ကို ပြန်လည်ဝင်ရောက်ခြင်းသော့ခတ်ခြင်း ပါ၀င်သည့် ဖြေရှင်းချက်တစ်ခု၏ Uniswap ကို Dedaub whitehats မှ အကြံပေးခဲ့သည်။
Uniswap သည် ၎င်းတို့၏ ချက်ခြင်းထုတ်ဖော်မှုအတွက် Dedaub အဖွဲ့အား ဒေါ်လာ 40,000 လျင်မြန်စွာ ချီးမြှင့်ခဲ့သည်။ Uniswap ၏ အဆိုအရ ပြဿနာသည် အလယ်အလတ်အဆင့် ပြင်းထန်မှုဖြစ်ပြီး အားနည်းချက်၏ နောက်ထပ်အကဲဖြတ်မှုသည် အခွင့်အလမ်းနည်းပါးပြီး သက်ရောက်မှုမြင့်မားသည့် မြင်ကွင်းကို ညွှန်ပြနေပါသည်။ အသုံးပြုသူတစ်ဦးမှ NFTs များကို တိုက်ရိုက်မယုံကြည်ရသော လက်ခံသူထံ တိုက်ရိုက်ပေးပို့မှသာ အဖြစ်အပျက်ကို အသုံးပြုသူမှ အမှားအယွင်းအဖြစ် သတ်မှတ်နိုင်သောကြောင့် တိုက်ခိုက်မှု vector ကို အသုံးပြုသူအဆုံး အမှားအဖြစ် သတ်မှတ်နိုင်ကြောင်း Dedaub မှ အတည်ပြုပါသည်။
မသက်ဆိုင်ကြောင်းရှင်းလင်းချက်: ဤဆောင်းပါးကိုသတင်းအချက်အလက်ရည်ရွယ်ချက်များအတွက်သာထောက်ပံ့ပေးလျက်ရှိသည်။ ၎င်းကိုတရားဝင်၊ အခွန်၊ ရင်းနှီးမြှုပ်နှံမှု၊ ဘဏ္financialာရေးသို့မဟုတ်အခြားအကြံဥာဏ်အဖြစ်အသုံးပြုရန်ရည်ရွယ်ခြင်းမဟုတ်ပါ။
အရင်းအမြစ်- https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability