安全公司 Dedaub 披露 Uniswap 新通用路由器的重入漏洞，並獲得漏洞賞金

ChainCatcher 消息，安全公司 Dedaub 團隊宣布獲得 Uniswap Labs 的安全漏洞報告賞金，因為其披露 Uniswap 的一個嚴重漏洞，該漏洞有重入的可能性，會耗盡用戶的資金。不過，資金是安全的，且 Uniswap 團隊已解決該漏洞並在所有鏈上重新部署了 Universal Router 智能合約。

Uniswap 在 2022 年 11 月份發布通用路由器「Universal Router」智能合約，可將 ERC20 和 NFT 兌換統一到一個交換路由器中，用戶可以執行異構操作，例如，在一筆交易中交換多個代幣和 NFT。

Dedaub 表示，該路由器為各種代幣操作嵌入了腳本語言，此類命令可能包括向第三方（可能不受信任的）接收人的傳輸。如果在傳輸過程中的任何時候調用第三方代碼，該代碼可以重新進入 UniversalRouter 並在合約中臨時認領任何代幣。Dedaub 建議 Uniswap 為新路由器的核心執行添加一個重入鎖，並重新部署。