Компания Debaub, занимающаяся аудитом безопасности, получила от Uniswap «награду за обнаружение ошибок» в размере 40 000 долларов после обнаружения критической уязвимости в смарт-контракте протокола.
Уязвимость была обнаружена в контракте универсального маршрутизатора Uniswap — новой технологии и языке сценариев, которые позволяют пользователям обменивать несколько токенов на NFT за одну транзакцию.
Debaub написал, что уязвимость могла позволить кому-то внедрить сторонний код во время перевода и украсть средства.
«Очевидно, что UniversalRouter не должен хранить какие-либо балансы между транзакциями, иначе они могут быть опустошены кем угодно», — написал основатель Debaub, Яннис Смарагдакис.
Контракт UniversalRouter способен выполнять несколько транзакционных команд подряд на серверной части, что улучшает взаимодействие с пользователем. Debaub обнаружил, что в контракте не было так называемой блокировки повторного входа, которая не позволяет хакерам выполнять дополнительные команды во время переводов, которые позволили бы им украсть средства.
Debaub заявил, что получил немедленное подтверждение от команды Uniswap несколько недель назад, когда впервые обнаружил уязвимость. За обнаружение ошибки компания получила 40 000 долларов США в долларах США.
