핵심 포인트:
- 개발자가 Uniswap 핵심 계약 SwapRouter에서 버그를 발견했으며, 거래에서 사용되지 않은 ETH는 SwapRouter 계약에 남아 있으며 환불되지 않습니다.
- 또한 SwapRouter를 사용하면 누구나 계약에서 ETH를 인출할 수 있으며 MEV 봇이나 거래 후 환불을 요청하는 사람이 될 수도 있습니다.
- 개발자는 이 취약점이 작년 12월에 발견되었지만 버그 보고서를 제출한 후 Uniswap 보안 연구원에 의해 거부되었다고 말했습니다.
개발자가 Uniswap 핵심 계약 SwapRouter에서 버그를 발견했으며, 거래에서 사용되지 않은 ETH는 SwapRouter 계약에 남아 있으며 환불되지 않습니다.
12 월 2022에서, @jeiwan7 Uniswap의 SwapRouter 계약에서 버그를 발견했습니다.
개발자는 취약점이 발견되었지만 버그 보고서를 제출한 후 Uniswap 보안 연구원에 의해 거부되었다고 말했습니다.
“Uniswap과 같은 프로젝트에서는 심각하고 심각도가 높은 버그를 실제로 발견하지 못합니다. 특히 몇 년 동안 프로덕션 환경에서 실행된 후에는 더욱 그렇습니다. 그래서 저는 별로 큰 기대를 하지 않았고 보고서에 대한 상을 받지 못할 것이라고 확신했습니다. 제 눈에는 버그가 실제처럼 보였고, 보안 표준이 높은 프로젝트에서 버그를 수정하지 않은 채 방치하는 이유가 무엇인지 알고 싶었습니다.
나는 버그 보고서를 제출했고 한 달이 넘은 후에 응답을 받았습니다. 그들은 버그가 문제가 아니며 모든 것이 예상대로 작동했다고 말했습니다. 나는 이것에 동의할 수 없다 ????. 따라서 나는 여러분 중 일부가 새로운 것을 배우고 경험이 풍부한 보안 연구를 통해 버그가 진짜인지 아닌지를 결정할 수 있도록 공개하기로 결정했습니다.”
이 버그로 인해 사용자는 표준 방식으로 계약과 상호 작용하는 동안 자금을 잃을 수 있습니다. 추가적으로, 스왑 라우터 누구나 계약에서 ETH를 인출할 수 있습니다. MEV 봇일 수도 있고 거래 후 환불을 요청하는 사람일 수도 있습니다.
그의 블로그 게시물에 따르면 호출자는 스왑을 실행하기 전에 스왑을 계산하는 데 사용되는 Quoter 계약이 입력 금액이 아닌 출력 금액만 반환하기 때문에 스왑에 얼마나 많은 ETH가 소비될지 알 수 없습니다. 풀에서 계산한 입력금액이 반환되더라도 거래가 진행되는 시점에 가격 변동으로 인해 계산된 입력금액이 변경될 수 있으므로 입력금액에 대한 슬리피지 확인이 필요했을 것입니다.
이전에도 코인큐는 신고 심각한 취약점 Uniswap, 소비자에게 수백만 달러의 비용이 발생할 수 있는 문제가 해결되었습니다. 이 버그는 Uniswap의 도입 결정으로 인해 발생했습니다. 보편적 인 라우터, 결합 NFTs 와 ERC-20 토큰 단일 스왑 라우터로.
면책 조항 : 이 웹사이트의 정보는 일반적인 시장 논평으로 제공되며 투자 조언을 구성하지 않습니다. 투자하기 전에 직접 조사해 보시기 바랍니다.
뉴스를 추적하려면 우리와 함께하십시오: https://linktr.ee/coincu
해롤드
코인쿠 뉴스