Le programme de primes de bogues récemment lancé par Uniswap a conduit à la découverte d’une vulnérabilité désormais corrigée du contrat intelligent Universal Router du protocole.
Le teneur de marché automatisé libéré deux nouveaux contrats intelligents sur sa plate-forme en novembre 2022. Permit2 permet de partager et de gérer les approbations de jetons entre différentes applications, tandis que Universal Router unifie l’ERC-20 et l’échange de jetons non fongibles (NFT) en un seul routeur d’échange.
Uniswap a également annoncé un programme lucratif de primes de bogues pour identifier les vulnérabilités potentielles de ses contrats intelligents vers la fin de 2022, alors qu’il cherchait à assurer la sécurité et l’efficacité de son protocole.
La société de sécurité et d’audit des contrats intelligents Dedaub a annoncé qu’elle avait reçu une prime de bogue après avoir signalé une vulnérabilité dans le contrat intelligent du routeur universel qui aurait permis à la réentrance de drainer les fonds des utilisateurs à mi-transaction.
L’équipe Dedaub a révélé une vulnérabilité critique à l’équipe Uniswap !
Les fonds sont en sécurité – Uniswap a résolu le problème et a redéployé les contrats intelligents Universal Router sur toutes ses chaînes
La vulnérabilité permet à la ré-entrée de drainer les fonds de l’utilisateur, mi-tx.
— Dedaub (@dedaub) 2 janvier 2023
Selon la répartition de Dedaub, le routeur universel permet aux utilisateurs d’effectuer diverses actions, notamment l’échange de plusieurs jetons et NFT en une seule transaction.
Le routeur intègre un langage de script pour une grande variété d’actions de jeton, qui peuvent inclure des transferts vers des destinataires tiers. S’ils sont correctement mis en œuvre, les transferts iraient au destinataire dans les limites de paramètres spécifiés.
En relation: Immunefi dit avoir facilité 66 millions de dollars en primes de bogues depuis sa création
Cependant, Dedaub a identifié une vulnérabilité dans laquelle un code tiers a été invoqué pendant le transfert, permettant au code de réintégrer le routeur universel et de réclamer tous les jetons qui étaient temporairement dans le contrat.
Dedaub a alors suggéré une solution simple, conseillant à l’équipe Uniswap d’ajouter un verrou de réentrance à l’exécution principale du nouveau routeur. Uniswap a accordé au cabinet d’audit un total de 40 000 $ pour avoir signalé la vulnérabilité. Le montant comprenait un bonus de 33% pour avoir signalé le problème pendant la période de bonus d’Uniswap en novembre 2022.
Uniswap a classé le problème comme étant de gravité moyenne, tandis qu’une évaluation plus approfondie a estimé que la vulnérabilité avait un impact élevé et une faible probabilité. Selon Dedaub, la possibilité qu’un utilisateur envoie directement des NFT à un destinataire non fiable était considérée comme une erreur de l’utilisateur.
Des scénarios plus complexes et moins probables ont été considérés comme valides pour la réentrance, ce qui a conduit Uniswap à considérer que le vecteur avait une faible probabilité. Cointelegraph a contacté Uniswap pour obtenir plus de détails sur son programme de primes en cours, les montants versés et le nombre de bugs identifiés à ce jour.
Les primes de bogue sont devenues monnaie courante dans l’espace de la crypto-monnaie et de la blockchain alors que les plates-formes et les entreprises cherchent à assurer la sécurité de leurs logiciels, systèmes et infrastructures.
L’échange de crypto-monnaie Coinbase a récemment clarifié les termes de sa prime de bogue, tandis que la société de sécurité blockchain Immunefi a facilité plus de 65 millions de dollars de primes de bogue entre les pirates éthiques et les entreprises Web3 en 2022.