Công ty kiểm toán bảo mật Debaub đã nhận được “tiền thưởng phát hiện lỗi” của Uniswap trị giá 40,000 USD sau khi phát hiện ra lỗ hổng nghiêm trọng trong smart contract trên giao thức.
Lỗ hổng được tìm thấy trong contract Universal Router của Uniswap, một công nghệ mới và ngôn ngữ kịch bản cho phép người dùng swap nhiều token lấy NFT trong một giao dịch.
Debaub cho biết trên Twitter rằng lỗ hổng bảo mật có thể đã cho phép ai đó triển khai mã code của bên thứ ba trong quá trình chuyển khoản và đánh cắp tiền.
Nhà sáng lập Debaub Yannis Smaragdakis viết: “Rõ ràng, UniversalRouter không nên giữ bất kỳ số dư nào giữa các giao dịch, nếu không bất kỳ ai cũng có thể làm trống số dư này.
Contract UniversalRouter có khả năng thực hiện một số lệnh giao dịch liên tiếp ở phần back end, giúp cải thiện trải nghiệm người dùng. Debaub phát hiện ra rằng contract này không có cái được gọi là khóa đăng nhập lại, giúp giảm thiểu việc tin tặc thực hiện các lệnh bổ sung trong quá trình chuyển tiền để cho phép chúng đánh cắp tiền.
Debaub cho biết họ đã nhận được xác nhận ngay lập tức từ đội ngũ Uniswap vài tuần trước khi lần đầu tiên phát hiện ra lỗ hổng. Debaub đã nhận được 40,000 đô la USDC cho việc phát hiện ra lỗi này.
Theo The Block
