안전 회사 Dedaub가 Uniswap의 새로운 일반 라우터의 재진입 취약점을 공개하고 취약점 보상을 받았습니다

ChainCatcher 메시지, 보안 회사 Dedaub 팀은 Uniswap Labs의 보안 취약점 보고서 보상을 받았다고 발표했습니다. 이는 Uniswap의 심각한 취약점을 공개했기 때문으로, 이 취약점은 재진입 가능성이 있어 사용자의 자금을 소진시킬 수 있습니다. 그러나 자금은 안전하며, Uniswap 팀은 해당 취약점을 해결하고 모든 체인에서 Universal Router 스마트 계약을 재배포했습니다.

Uniswap은 2022년 11월에 일반 라우터 "Universal Router" 스마트 계약을 출시하여 ERC20 및 NFT 교환을 하나의 교환 라우터로 통합했습니다. 사용자는 하나의 거래에서 여러 토큰과 NFT를 교환하는 이종 작업을 수행할 수 있습니다.

Dedaub는 이 라우터가 다양한 토큰 작업에 스크립트 언어를 내장하고 있으며, 이러한 명령은 제3자(신뢰할 수 없는 가능성이 있는) 수신자에게 전송하는 것을 포함할 수 있다고 밝혔습니다. 전송 과정의 어느 시점에서든 제3자 코드를 호출하면 해당 코드는 UniversalRouter에 재진입하여 계약 내에서 임시로 어떤 토큰이든 주장할 수 있습니다. Dedaub는 Uniswap이 새로운 라우터의 핵심 실행에 재진입 잠금을 추가하고 재배포할 것을 권장합니다.