Auditora de DeFi gana USD 40,000 por identificar una vulnerabilidad en Uniswap
El programa de recompensas por bugs lanzado recientemente por Uniswap ha permitido descubrir una vulnerabilidad ya corregida en el contrato inteligente Universal Router del protocolo.
El creador de mercado automatizado lanzó dos nuevos contratos inteligentes a su plataforma en noviembre de 2022. Permit2 que habilita que las aprobaciones de tokens se compartan y gestionen a través de diferentes aplicaciones, mientras que Universal Router unifica el intercambio de tokens ERC-20 y no fungibles (NFT) en un único router de transacción.
Uniswap también anunció un lucrativo programa de recompensas por errores para identificar posibles vulnerabilidades en sus contratos inteligentes hacia finales de 2022, pues buscaba garantizar la seguridad y eficacia de su protocolo.
La empresa de seguridad y auditoría de contratos inteligentes, Dedaub, anunció que había recibido una recompensa por bug tras detectar una vulnerabilidad en el contrato inteligente Universal Router que habría permitido que un ataque de reentrada drenara los fondos de los usuarios a mitad de la transacción.
The Dedaub team has disclosed a Critical vulnerability to the Uniswap team!
Funds are safe – Uniswap addressed the issue and redeployed the Universal Router smart contracts on all its chains
The vulnerability allows re-entertrancy to drain the user’s funds, mid-tx.
— Dedaub (@dedaub) January 2, 2023
Según el resumen de Dedaub, el contrato Universal Router permite a los usuarios realizar diversas acciones, incluido el intercambio de varios tokens y NFT en una sola transacción.
El contrato incorpora un lenguaje de scripting para una amplia variedad de acciones de token, que podrían incluir transferencias a terceros destinatarios. Si se implementa correctamente, las transferencias irían al destinatario dentro de los parámetros especificados.
Sin embargo, Dedaub identificó una vulnerabilidad en la que se utilizaba un código de terceros durante la transferencia, lo que permitía al código volver a entrar en el contrato Universal Router y tomar los tokens que estuvieran temporalmente en el contrato.
Dedaub sugirió entonces una solución sencilla, aconsejando al equipo de Uniswap que añadiera un bloqueo de reentrada a la ejecución principal del nuevo contrato inteligente. Uniswap concedió a la empresa auditora un total de USD 40,000 por identificar la vulnerabilidad. La cantidad incluía una bonificación del 33% por informar del problema durante el periodo de bonificaciones de Uniswap en noviembre de 2022.
Uniswap clasificó el problema como de gravedad media, mientras que una evaluación posterior consideró que la vulnerabilidad tenía un impacto alto y una probabilidad baja. Según Dedaub, la posibilidad de que un usuario enviara directamente NFT a un destinatario no fiable se consideró un error de usuario.
Escenarios más complejos y menos probables se consideraron válidos para la reentrada, lo que dio lugar a que Uniswap considerara que el vector tenía una probabilidad baja. Cointelegraph se puso en contacto con Uniswap para conocer más detalles sobre su programa de recompensas abierto, las cantidades pagadas y el número de fallos identificados hasta la fecha.
Las recompensas por fallos se han convertido en algo habitual en el espacio de las criptomonedas y la cadena de bloques, puesto que las plataformas y las empresas tratan de garantizar la seguridad de su software, sistemas e infraestructuras.
El exchanges de criptomonedas, Coinbase, aclaró recientemente los términos de su programa de recompensas por fallos, mientras que la empresa de seguridad blockchain, Immunefi, ha facilitado recompensas por fallos por valor de más de USD 65 millones entre hackers éticos y empresas Web3 en 2022.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.