تم اكتشاف خطأ في Uniswap لا يقوم باسترداد ETH غير المنفقة في المقايضات الجزئية
النقاط الرئيسية:
- اكتشف أحد المطورين خطأً في عقد SwapRouter الأساسي لـ Uniswap، وستظل عملة ETH غير المنفقة في المعاملة في عقد SwapRouter ولن يتم استردادها.
- بالإضافة إلى ذلك، يسمح SwapRouter لأي شخص بسحب ETH من العقد، ويمكن أن يكون روبوت MEV أو أي شخص يطلب استرداد الأموال بعد المعاملة.
- وقال المطور إن الثغرة الأمنية تم اكتشافها في ديسمبر من العام الماضي ولكن تم رفضها من قبل باحثي الأمن في Uniswap بعد تقديم تقرير عن الخطأ.
اكتشف أحد المطورين خطأً في عقد SwapRouter الأساسي لـ Uniswap، وستظل عملة ETH غير المنفقة في المعاملة في عقد SwapRouter ولن يتم استردادها.
في ديسمبر 2022، @jeiwan7 تم العثور على خطأ في عقد SwapRouter الخاص بـ Uniswap.
وقال المطور إنه تم اكتشاف الثغرة الأمنية ولكن تم رفضها من قبل باحثي الأمن في Uniswap بعد تقديم تقرير عن الخطأ.
"لا تجد حقًا أخطاء خطيرة وعالية الخطورة في مشاريع مثل Uniswap، خاصة بعد تشغيلها في الإنتاج لعدة سنوات. لذلك لم تكن لدي توقعات كبيرة حقًا وكنت متأكدًا من أنني لن أحصل على الجائزة مقابل التقرير. يبدو لي أن الخطأ حقيقي، وأردت أن أعرف لماذا يتركه مشروع ذو معايير أمنية عالية دون إصلاح.
لقد أرسلت تقريرًا عن خطأ، وبعد أكثر من شهر تلقيت ردهم: قالوا إن الخطأ لا يمثل مشكلة، وأن كل شيء يعمل كما هو متوقع. لا أستطيع أن أتفق مع هذا ؟؟؟؟. ولذلك قررت الكشف عنها علنًا ليتعلم البعض منكم شيئًا جديدًا وللباحثين الأمنيين الأكثر خبرة ليقرروا ما إذا كانت الثغرة حقيقية أم لا.
يتيح الخطأ للمستخدمين خسارة الأموال أثناء التفاعل مع العقد بالطريقة القياسية. بالإضافة إلى ذلك، SwapRouter يسمح لأي شخص بسحب ETH من العقد؛ يمكن أن يكون روبوت MEV أو أي شخص يطلب استرداد الأموال بعد المعاملة.
لا يمكن للمتصل معرفة مقدار ETH الذي سيتم إنفاقه على المبادلة، وفقًا لمنشور مدونته، نظرًا لأن عقد Quoter، الذي يُستخدم لحساب المقايضة قبل تنفيذها، يُرجع فقط مبلغ المخرجات وليس مبلغ الإدخال. حتى لو تم إرجاع مبلغ الإدخال المحسوب بواسطة المجمع، فقد يكون من الضروري إجراء فحص الانزلاق على مبلغ الإدخال لأن تغيير السعر قد يتسبب في تغيير مبلغ الإدخال المحسوب في وقت تنفيذ المعاملة.
سابقا، Coincu أيضا وذكرت ثغرة أمنية خطيرة في Uniswap، والتي تم إصلاحها والتي ربما كانت تكلف المستهلكين ملايين الدولارات. تم إنشاء هذا الخطأ بسبب قرار Uniswap بتقديم عالمي راوتر، الذي يجمع NFTS و رموز ERC-20 في جهاز توجيه مبادلة واحد.
تنصل: يتم توفير المعلومات الواردة في هذا الموقع كتعليق عام على السوق ولا تشكل نصيحة استثمارية. نحن نشجعك على إجراء البحث الخاص بك قبل الاستثمار.
انضم إلينا لتتبع الأخبار: https://linktr.ee/coincu
هارولد
كوينكو الأخبار