DeFi 审计员因发现 Uniswap 漏洞而净赚 40,000 美元

据悉，Uniswap最近启动的漏洞赏金计划导致发现了该协议的通用路由器智能合约的一个现已修复的漏洞。

这家自动化做市商于2022年11月向其平台发布了两个新的智能合约。Permit2允许在不同的应用程序之间共享和管理代币批准，而UniversalRouter将ERC-20和不可替代代币(NFT)交换统一到一个交换路由器中。

Uniswap还宣传了一项利润丰厚的漏洞赏金计划，以在2022年底前识别其智能合约中的潜在漏洞，以确保其协议的安全性和有效性。

智能合约安全和审计公司Dedaub宣布，在标记UniversalRouter智能合约中的一个漏洞后，它获得了漏洞赏金，该漏洞可能允许重新进入以耗尽交易中的用户资金。

根据Dedaub的细分，UniversalRouter允许用户执行多种操作，包括在一次交易中交换多个代币和NFT。

路由器嵌入了一种用于各种令牌操作的脚本语言，其中可能包括向第三方接收者的传输。如果实施得当，转账将在指定参数范围内到达接收方。

然而，Dedaub发现了一个漏洞，在该漏洞中，第三方代码在传输过程中被调用，允许代码重新进入通用路由器并索取合约中临时存在的任何代币。

Dedaub随后提出了一个直接的补救措施，建议Uniswap团队为新路由器的核心执行添加一个重入锁。Uniswap因标记该漏洞而向审计公司支付了总计40,000美元。该金额包括在2022年11月Uniswap奖金期内报告该问题的33%奖金。

Uniswap将该问题归类为中等严重程度，而进一步评估认为该漏洞具有高影响和低可能性。根据Dedaub的说法，用户将NFT直接发送给不受信任的收件人的可能性被认为是用户错误。

更复杂和不太可能的场景被认为对重入有效，这导致Uniswap认为向量的可能性很低。Cointelegraph已与Uniswap联系，以确定其正在进行的赏金计划的更多细节、支付的金额以及迄今为止发现的漏洞数量。

随着平台和公司希望确保其软件、系统和基础设施的安全，漏洞奖励在加密货币和区块链领域变得司空见惯。

加密货币交易所Coinbase最近澄清了其漏洞赏金的条款，而区块链安全公司Immunefi在2022年促进了道德黑客和Web3公司之间价值超过6500万美元的漏洞赏金。