Bug detectado pelo Uniswap não reembolsa ETH não gasto em swaps parciais
Pontos chave:
- Um desenvolvedor encontrou um bug no contrato principal do Uniswap, SwapRouter, e o ETH não gasto na transação permanecerá no contrato do SwapRouter e não será reembolsado.
- Além disso, o SwapRouter permite que qualquer pessoa retire ETH do contrato, podendo ser um bot MEV ou qualquer pessoa solicitando reembolso após a transação.
- O desenvolvedor disse que a vulnerabilidade foi descoberta em dezembro do ano passado, mas foi rejeitada pelos pesquisadores de segurança do Uniswap após enviar um relatório de bug.
Um desenvolvedor encontrou um bug no contrato principal do Uniswap, SwapRouter, e o ETH não gasto na transação permanecerá no contrato do SwapRouter e não será reembolsado.
Em dezembro de 2022, @jeiwan7 encontrou um bug no contrato SwapRouter do Uniswap.
O desenvolvedor disse que a vulnerabilidade foi descoberta, mas foi rejeitada pelos pesquisadores de segurança do Uniswap após enviar um relatório de bug.
“Você realmente não encontra bugs críticos e de alta gravidade em projetos como o Uniswap, especialmente depois de eles estarem em produção por vários anos. Então eu realmente não tinha grandes expectativas e tinha certeza de que não seria premiado pelo relatório. O bug parece real para mim e eu queria descobrir por que um projeto com altos padrões de segurança o deixaria sem correção.
Enviei um relatório de bug e depois de mais de um mês recebi a resposta deles: eles disseram que o bug não era um problema e que tudo funcionou conforme o esperado. Não posso concordar com isso ????. Portanto, decidi divulgá-lo publicamente para que alguns de vocês aprendam algo novo e para que pesquisadores de segurança mais experientes decidam se o bug é real ou não.”
O bug permite que os usuários percam fundos ao interagir com o contrato da forma padrão. Adicionalmente, TrocarRouter permite que qualquer pessoa retire ETH do contrato; pode ser um bot MEV ou qualquer pessoa pedindo reembolso após a transação.
O chamador não pode saber quanto ETH será gasto em um swap, de acordo com sua postagem no blog, uma vez que o contrato Quoter, que é usado para calcular os swaps antes de executá-los, retorna apenas o valor de saída e não o valor de entrada. Mesmo que o valor de entrada calculado pelo pool tivesse sido devolvido, uma verificação de derrapagem teria sido necessária no valor de entrada, uma vez que uma alteração de preço poderia ter causado uma alteração no valor de entrada calculado no momento em que a transação foi executada.
Anteriormente, Coincu também relatado uma vulnerabilidade crítica em Uniswap, que foi corrigido e pode ter custado milhões de dólares aos consumidores. Este bug foi estabelecido devido à decisão do Uniswap de introduzir o Universal router, que combina NTF`s e Fichas ERC-20 em um único roteador swap.
AVISO LEGAL: As informações neste site são fornecidas como comentários gerais do mercado e não constituem aconselhamento de investimento. Nós encorajamos você a fazer sua própria pesquisa antes de investir.
Junte-se a nós para acompanhar as novidades: https://linktr.ee/coincu
Harold
coincu Novidades
Autor
DeFi
Bug detectado pelo Uniswap não reembolsa ETH não gasto em swaps parciais
Pontos chave:
- Um desenvolvedor encontrou um bug no contrato principal do Uniswap, SwapRouter, e o ETH não gasto na transação permanecerá no contrato do SwapRouter e não será reembolsado.
- Além disso, o SwapRouter permite que qualquer pessoa retire ETH do contrato, podendo ser um bot MEV ou qualquer pessoa solicitando reembolso após a transação.
- O desenvolvedor disse que a vulnerabilidade foi descoberta em dezembro do ano passado, mas foi rejeitada pelos pesquisadores de segurança do Uniswap após enviar um relatório de bug.
Um desenvolvedor encontrou um bug no contrato principal do Uniswap, SwapRouter, e o ETH não gasto na transação permanecerá no contrato do SwapRouter e não será reembolsado.
Em dezembro de 2022, @jeiwan7 encontrou um bug no contrato SwapRouter do Uniswap.
O desenvolvedor disse que a vulnerabilidade foi descoberta, mas foi rejeitada pelos pesquisadores de segurança do Uniswap após enviar um relatório de bug.
“Você realmente não encontra bugs críticos e de alta gravidade em projetos como o Uniswap, especialmente depois de eles estarem em produção por vários anos. Então eu realmente não tinha grandes expectativas e tinha certeza de que não seria premiado pelo relatório. O bug parece real para mim e eu queria descobrir por que um projeto com altos padrões de segurança o deixaria sem correção.
Enviei um relatório de bug e depois de mais de um mês recebi a resposta deles: eles disseram que o bug não era um problema e que tudo funcionou conforme o esperado. Não posso concordar com isso ????. Portanto, decidi divulgá-lo publicamente para que alguns de vocês aprendam algo novo e para que pesquisadores de segurança mais experientes decidam se o bug é real ou não.”
O bug permite que os usuários percam fundos ao interagir com o contrato da forma padrão. Adicionalmente, TrocarRouter permite que qualquer pessoa retire ETH do contrato; pode ser um bot MEV ou qualquer pessoa pedindo reembolso após a transação.
O chamador não pode saber quanto ETH será gasto em um swap, de acordo com sua postagem no blog, uma vez que o contrato Quoter, que é usado para calcular os swaps antes de executá-los, retorna apenas o valor de saída e não o valor de entrada. Mesmo que o valor de entrada calculado pelo pool tivesse sido devolvido, uma verificação de derrapagem teria sido necessária no valor de entrada, uma vez que uma alteração de preço poderia ter causado uma alteração no valor de entrada calculado no momento em que a transação foi executada.
Anteriormente, Coincu também relatado uma vulnerabilidade crítica em Uniswap, que foi corrigido e pode ter custado milhões de dólares aos consumidores. Este bug foi estabelecido devido à decisão do Uniswap de introduzir o Universal router, que combina NTF`s e Fichas ERC-20 em um único roteador swap.
AVISO LEGAL: As informações neste site são fornecidas como comentários gerais do mercado e não constituem aconselhamento de investimento. Nós encorajamos você a fazer sua própria pesquisa antes de investir.
Junte-se a nós para acompanhar as novidades: https://linktr.ee/coincu
Harold
coincu Novidades
Outras postagens
Artigos relacionados
Novidades
LayerZero Airdrop causa entusiasmo quando o instantâneo da primeira fase é concluído
Cobertura Orgânica
7 melhores criptomoedas abaixo de US$ 1 com potencial de 1000x
Novidades
Multa de fraude da Terraform Labs de US$ 5.3 bilhões contestada pela empresa por ser muito pesada
Novidades
Compras de criptomoedas do PayPal agora aprimoradas com suporte da MoonPay
Novidades
BlackRock Bitcoin ETF teve suas primeiras saídas desde janeiro de 2024
Novidades
O ETF Franklin Ethereum está listado no DTCC, embora ainda não tenha sido aprovado
Novidades
Presidente da SEC acusado de engano em relação à legitimidade da Ethereum!
Novidades
Roger Ver é preso na Espanha, acusado de fraude fiscal de US$ 48 milhões
Novidades
Impressionante retirada de criptografia de US$ 118.7 milhões da Binance em 16 horas!
Principais projetos
Os 10 melhores bots de criptografia de telegrama em 2024
Recursos Educacionais
Mineração de Bitcoin: Quanto tempo leva para extrair 1 Bitcoin?
Recursos Educacionais
Previsões eleitorais nos EUA: os efeitos e a importância do novo presidente dos EUA
Recursos Educacionais
Potenciais candidatos às eleições dos EUA em 2024: quem vencerá?
Novidades
