Công ty kiểm toán bảo mật Debaub đã nhận được “tiền thưởng lỗi” Uniswap trị giá 40.000 đô la sau khi phát hiện ra lỗ hổng nghiêm trọng trong hợp đồng thông minh trên giao thức.
Lỗ hổng được tìm thấy trong hợp đồng Bộ định tuyến chung của Uniswap, một công nghệ mới và ngôn ngữ kịch bản cho phép người dùng hoán đổi nhiều token lấy NFT trong một giao dịch.
Debaub cho biết trên Twitter rằng lỗ hổng bảo mật có thể đã cho phép ai đó triển khai mã của bên thứ ba trong quá trình chuyển khoản và đánh cắp tiền.
“Rõ ràng, UniversalRouter không được giữ bất kỳ số dư nào giữa các giao dịch, nếu không, bất kỳ ai cũng có thể làm trống số dư này,” người sáng lập Debaub Yannis Smaragdakis viết .
Hợp đồng UniversalRouter có khả năng thực hiện một số lệnh giao dịch liên tiếp ở mặt sau, giúp cải thiện trải nghiệm người dùng. Debaub phát hiện ra rằng hợp đồng không có cái được gọi là khóa đăng nhập lại, giúp giảm thiểu việc tin tặc thực hiện các lệnh bổ sung trong quá trình chuyển tiền để cho phép chúng đánh cắp tiền.
Debaub cho biết họ đã nhận được xác nhận ngay lập tức từ nhóm Uniswap vài tuần trước khi lần đầu tiên phát hiện ra lỗ hổng. Nó đã nhận được 40.000 đô la USDC cho việc phát hiện ra lỗi.
