UniSwap 通用路由器易受重入攻击

奔跑财经 view 20924 2023-1-4 14:11
share to
Scan QR code with WeChat

UniSwap 通用路由器易受重入攻击

Dedaub 的团队最近披露了 UniSwap 合约中的一个漏洞,该漏洞可能危及某些用户。

UniSwap 漏洞

在最近的一条推文中,Dedaub 透露他们在 UniSwap 合约上发现了一个漏洞,并告知了他们该漏洞。收到反馈后,“UniSwap 解决了这个问题,并在其所有链上重新部署了通用路由器智能合约。”

根据Dedaub的推文,此漏洞为重入攻击铺平了道路,这会耗尽用户的资金,Dedaub 团队解释了攻击者如何利用此漏洞。

UniSwap 通用路由器易受重入攻击

这个漏洞的诞生可以追溯到 11 月,当时UniSwap 推出了它的通用路由器,该路由器将 NFT 和 ERC-20 交换统一到单个交换路由器。目的是帮助用户执行多项操作,例如在一次交易中交换多个 NFT 和代币。

正确使用时,通用路由器命令会将指定的金额发送给指定的收件人。但是,如果在转账过程中调用了第三方代码,则可以重新进入路由器并在合约中领取代币,这主要是因为通用路由器在交易之间持有余额。

在他们的概念验证中,Dedaub 团队指出,攻击者可以为发送初始金额后剩余的所有代币添加 SWEEP 命令。作为交易的一部分,收款人可以迅速耗尽全部金额。

Uniswap的团队行动迅速

Dedaub 的团队立即通知 UniSwap 团队这种攻击的可能性,他们建议 Uniswap 的团队在部署之前在他们的新路由器中嵌入一个可重入锁。

Uniswap 立即处理了这个问题,在采用合约之前进行了必要的调整。Uniswap 向 Dedaub团队提供了 4 万美元的漏洞赏金,以表明他们对个人安全的承诺。然而,Uniswap 团队将该问题评估为影响大但可能性低的事件。因此,这可能发生在非常复杂的场景中。

DEX 协议 UniSwap一般都熟悉重入攻击。2020 年,有报道称 DEX 和 Lendf.me 在一次简单的重入攻击中损失了 2500 万美元。该网络还遭受了其他攻击,例如黑客攻击。2022 年 7 月,黑客使用网络钓鱼攻击窃取了 800 万美元的ETH

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Tags: DEX Uniswap
Previous: Vitalik眼中的聪明人:我为什么依旧看好Solana生态? Next: FTX驳35亿美元:巴哈马扣留的仅2.96亿美元!将寻求归还加密货币

Related