تم اكتشاف خطأ في Uniswap لا يقوم باسترداد ETH غير المنفقة في المقايضات الجزئية
النقاط الرئيسية:
- اكتشف أحد المطورين خطأً في عقد SwapRouter الأساسي لـ Uniswap، وستظل عملة ETH غير المنفقة في المعاملة في عقد SwapRouter ولن يتم استردادها.
- بالإضافة إلى ذلك، يسمح SwapRouter لأي شخص بسحب ETH من العقد، ويمكن أن يكون روبوت MEV أو أي شخص يطلب استرداد الأموال بعد المعاملة.
- وقال المطور إن الثغرة الأمنية تم اكتشافها في ديسمبر من العام الماضي ولكن تم رفضها من قبل باحثي الأمن في Uniswap بعد تقديم تقرير عن الخطأ.
اكتشف أحد المطورين خطأً في عقد SwapRouter الأساسي لـ Uniswap، وستظل عملة ETH غير المنفقة في المعاملة في عقد SwapRouter ولن يتم استردادها.
في ديسمبر 2022، @jeiwan7 تم العثور على خطأ في عقد SwapRouter الخاص بـ Uniswap.
وقال المطور إنه تم اكتشاف الثغرة الأمنية ولكن تم رفضها من قبل باحثي الأمن في Uniswap بعد تقديم تقرير عن الخطأ.
"لا تجد حقًا أخطاء خطيرة وعالية الخطورة في مشاريع مثل Uniswap، خاصة بعد تشغيلها في الإنتاج لعدة سنوات. لذلك لم تكن لدي توقعات كبيرة حقًا وكنت متأكدًا من أنني لن أحصل على الجائزة مقابل التقرير. يبدو لي أن الخطأ حقيقي، وأردت أن أعرف لماذا يتركه مشروع ذو معايير أمنية عالية دون إصلاح.
لقد أرسلت تقريرًا عن خطأ، وبعد أكثر من شهر تلقيت ردهم: قالوا إن الخطأ لا يمثل مشكلة، وأن كل شيء يعمل كما هو متوقع. لا أستطيع أن أتفق مع هذا ؟؟؟؟. ولذلك قررت الكشف عنها علنًا ليتعلم البعض منكم شيئًا جديدًا وللباحثين الأمنيين الأكثر خبرة ليقرروا ما إذا كانت الثغرة حقيقية أم لا.
يتيح الخطأ للمستخدمين خسارة الأموال أثناء التفاعل مع العقد بالطريقة القياسية. بالإضافة إلى ذلك، SwapRouter يسمح لأي شخص بسحب ETH من العقد؛ يمكن أن يكون روبوت MEV أو أي شخص يطلب استرداد الأموال بعد المعاملة.
لا يمكن للمتصل معرفة مقدار ETH الذي سيتم إنفاقه على المبادلة، وفقًا لمنشور مدونته، نظرًا لأن عقد Quoter، الذي يُستخدم لحساب المقايضة قبل تنفيذها، يُرجع فقط مبلغ المخرجات وليس مبلغ الإدخال. حتى لو تم إرجاع مبلغ الإدخال المحسوب بواسطة المجمع، فقد يكون من الضروري إجراء فحص الانزلاق على مبلغ الإدخال لأن تغيير السعر قد يتسبب في تغيير مبلغ الإدخال المحسوب في وقت تنفيذ المعاملة.
سابقا، Coincu أيضا وذكرت ثغرة أمنية خطيرة في Uniswap، والتي تم إصلاحها والتي ربما كانت تكلف المستهلكين ملايين الدولارات. تم إنشاء هذا الخطأ بسبب قرار Uniswap بتقديم عالمي راوتر، الذي يجمع NFTS و رموز ERC-20 في جهاز توجيه مبادلة واحد.
تنصل: يتم توفير المعلومات الواردة في هذا الموقع كتعليق عام على السوق ولا تشكل نصيحة استثمارية. نحن نشجعك على إجراء البحث الخاص بك قبل الاستثمار.
انضم إلينا لتتبع الأخبار: https://linktr.ee/coincu
هارولد
كوينكو الأخبار
المعلن / كاتب التعليق
الصدمة
تم اكتشاف خطأ في Uniswap لا يقوم باسترداد ETH غير المنفقة في المقايضات الجزئية
النقاط الرئيسية:
- اكتشف أحد المطورين خطأً في عقد SwapRouter الأساسي لـ Uniswap، وستظل عملة ETH غير المنفقة في المعاملة في عقد SwapRouter ولن يتم استردادها.
- بالإضافة إلى ذلك، يسمح SwapRouter لأي شخص بسحب ETH من العقد، ويمكن أن يكون روبوت MEV أو أي شخص يطلب استرداد الأموال بعد المعاملة.
- وقال المطور إن الثغرة الأمنية تم اكتشافها في ديسمبر من العام الماضي ولكن تم رفضها من قبل باحثي الأمن في Uniswap بعد تقديم تقرير عن الخطأ.
اكتشف أحد المطورين خطأً في عقد SwapRouter الأساسي لـ Uniswap، وستظل عملة ETH غير المنفقة في المعاملة في عقد SwapRouter ولن يتم استردادها.
في ديسمبر 2022، @jeiwan7 تم العثور على خطأ في عقد SwapRouter الخاص بـ Uniswap.
وقال المطور إنه تم اكتشاف الثغرة الأمنية ولكن تم رفضها من قبل باحثي الأمن في Uniswap بعد تقديم تقرير عن الخطأ.
"لا تجد حقًا أخطاء خطيرة وعالية الخطورة في مشاريع مثل Uniswap، خاصة بعد تشغيلها في الإنتاج لعدة سنوات. لذلك لم تكن لدي توقعات كبيرة حقًا وكنت متأكدًا من أنني لن أحصل على الجائزة مقابل التقرير. يبدو لي أن الخطأ حقيقي، وأردت أن أعرف لماذا يتركه مشروع ذو معايير أمنية عالية دون إصلاح.
لقد أرسلت تقريرًا عن خطأ، وبعد أكثر من شهر تلقيت ردهم: قالوا إن الخطأ لا يمثل مشكلة، وأن كل شيء يعمل كما هو متوقع. لا أستطيع أن أتفق مع هذا ؟؟؟؟. ولذلك قررت الكشف عنها علنًا ليتعلم البعض منكم شيئًا جديدًا وللباحثين الأمنيين الأكثر خبرة ليقرروا ما إذا كانت الثغرة حقيقية أم لا.
يتيح الخطأ للمستخدمين خسارة الأموال أثناء التفاعل مع العقد بالطريقة القياسية. بالإضافة إلى ذلك، SwapRouter يسمح لأي شخص بسحب ETH من العقد؛ يمكن أن يكون روبوت MEV أو أي شخص يطلب استرداد الأموال بعد المعاملة.
لا يمكن للمتصل معرفة مقدار ETH الذي سيتم إنفاقه على المبادلة، وفقًا لمنشور مدونته، نظرًا لأن عقد Quoter، الذي يُستخدم لحساب المقايضة قبل تنفيذها، يُرجع فقط مبلغ المخرجات وليس مبلغ الإدخال. حتى لو تم إرجاع مبلغ الإدخال المحسوب بواسطة المجمع، فقد يكون من الضروري إجراء فحص الانزلاق على مبلغ الإدخال لأن تغيير السعر قد يتسبب في تغيير مبلغ الإدخال المحسوب في وقت تنفيذ المعاملة.
سابقا، Coincu أيضا وذكرت ثغرة أمنية خطيرة في Uniswap، والتي تم إصلاحها والتي ربما كانت تكلف المستهلكين ملايين الدولارات. تم إنشاء هذا الخطأ بسبب قرار Uniswap بتقديم عالمي راوتر، الذي يجمع NFTS و رموز ERC-20 في جهاز توجيه مبادلة واحد.
تنصل: يتم توفير المعلومات الواردة في هذا الموقع كتعليق عام على السوق ولا تشكل نصيحة استثمارية. نحن نشجعك على إجراء البحث الخاص بك قبل الاستثمار.
انضم إلينا لتتبع الأخبار: https://linktr.ee/coincu
هارولد
كوينكو الأخبار
وظائف أخرى
المنشورات المشابهة
الأخبار
خطأ في العنوان يؤدي إلى خسارة WBTC بقيمة 68 مليون دولار، وسقوط الضحية في عملية احتيال تصيدية
الأخبار
لم تنته الدعوى القضائية لهيئة الأوراق المالية والبورصات Coinbase بعد، لكن البورصة لا تزال متفائلة
الأخبار
تم إدراج صندوق Franklin Ethereum ETF في DTCC، على الرغم من عدم الموافقة عليه بعد
الأخبار
رئيس هيئة الأوراق المالية والبورصة متهم بالخداع فيما يتعلق بشرعية إيثريوم!
تحليل الأداء
أبريل هو أسوأ شهر بالنسبة للبيتكوين وسط التدفقات الخارجة من صناديق الاستثمار المتداولة: تقرير
الأخبار
القبض على روجر فير في إسبانيا بتهمة الاحتيال الضريبي بقيمة 48 مليون دولار
الأخبار
