[ad_1]
보안 회사 Dedaub 발견 인기있는 Ethereum 분산 교환 Uniswap에 대한 치명적인 취약점을 공개했습니다. 프로토콜 배후의 팀은 버그를 수정했고 영향을 받는 구성 요소를 성공적으로 재배포했습니다. 그렇지 않으면 공격자가 거래를 조정하여 사용자의 자금을 훔칠 수 있었습니다.
Uniswap은 위험을 피하고 새로운 기능을 수정합니다.
보안 회사에 따르면 이 취약점은 의도하지 않게 Universal Router에 구현되었습니다. 이 구성 요소를 통해 Uniswap 사용자는 ERC-20 토큰과 대체 불가능한 토큰을 “단일 스왑 라우터”로 교환할 수 있습니다.
즉, Uniswap 사용자는 작업을 최적화하고 단일 트랜잭션에서 여러 토큰과 NFT를 거래하여 시간과 비용을 절약할 수 있습니다. 이 새로운 구성요소를 통해 사용자는 제3자에게 자금을 이체할 수도 있습니다.
취약점이 존재하면 사용자는 제3자에게 트랜잭션을 보낼 수 있으며 제3자는 보낸 사람의 자금에 액세스할 수 있습니다. Dedaub는 다음과 같이 설명했습니다.
(…) 전송 중 어느 시점에서든 제3자 코드가 호출되면(프로토콜 구성으로 인해 나타남) 코드는 UniversalRouter에 다시 들어가 계약에서 일시적으로 토큰을 청구할 수 있습니다(…). 또한 공격자는 라우터에 다시 들어가고(실행 호출) 모든 토큰 양을 스윕하는 코드를 구현해야 합니다. 라우터는 복잡한 스왑의 다른 작업 및 전송으로 인해 거래 중간에 자금을 포함할 수 있습니다.
유니버설 라우터는 트랜잭션이 완료되는 동안 발신자의 자금을 보유합니다. 이런 일이 발생하는 동안 자금은 취약했으며 악의적인 행위자는 “.TRANSFER” 또는 “dispatch”와 같은 특정 명령을 호출하여 자금을 고갈시킬 수 있습니다. “.스위프.”
이 취약점으로 인해 악의적인 행위자가 이 명령을 사용하여 트랜잭션을 “재입력”할 수 있습니다. 내부로 들어가면 공격자는 보낸 사람의 지갑에서 “전체 금액을 빼낼” 수 있습니다.
보안 회사는 취약점이 악용될 수 있는 “끝없는 시나리오”에 다음을 추가했습니다.
신뢰할 수 없는 코드가 전송 중 언제든지 호출되면 코드는 UniversalRouter에 다시 입력하고 UniversalRouter 계약에 이미 있는 모든 토큰을 요청할 수 있습니다. 예를 들어, 이러한 토큰은 사용자가 나중에 NFT를 구매하거나 두 번째 수신자에게 토큰을 전송하려고 하기 때문에 존재할 수 있습니다. UniversalRouter 호출. 그리고 신뢰할 수 없는 수신자가 호출될 수 있는 시나리오가 부족하지 않습니다(…).
이더리움 DEX, 버그 현상금 300만 달러 부여
2022년 12월 Uniswap은 새로운 NFT 호환성의 일부로 범용 라우터를 출시했습니다. 당시 Uniswap Labs는 300만 달러의 현상금 프로그램을 발표했습니다. Dedaub는 새 구성 요소에 대한 버그 보고서에 대해 이 금액을 받았습니다.
회사는 나쁜 행위자가 결코 취약점을 악용하지 않았다는 사실과 보상을 축하했습니다. 또한 보안 회사는 “Uniswap이 조치를 취한 유일한 버그 보고서”였습니다.
2022년은 암호화폐 및 위험 자산에 있어 골치 아픈 해였으며 거시 경제 세력은 초기 부문에 대항했습니다. 해커와 악의적인 행위자가 업계에서 수십억 달러를 가져가면서 사용자는 가격 하락 이상의 장애물을 경험했습니다.
의 데이터 온체인 분석 회사인 Chainalysis 주장 나쁜 행위자들은 2017년부터 2021년까지만 260억 달러 이상의 암호화폐를 받았습니다. 2023년에 이러한 추세가 연장될지 완화될지는 두고 볼 일입니다.
이 글을 쓰는 시점에서 UNI의 가격은 일간 차트에서 횡보하면서 $5.70에 거래되고 있습니다.
[ad_2]
