Uniswap dính lỗ hổng nghiêm trọng, có thể tổn thất đến hàng tỷ USD
Rosa
Thứ Tư, 04/01/2023
Một lỗ hổng nghiêm trọng trên Uniswap vừa được khắc phục. Ước tính nếu bị tấn công, người dùng có thể tiêu tốn hàng triệu đô, thậm chí hàng tỷ USD trong trường hợp xấu nhất.
Lỗ hổng nào trên UniSwap?
Đội ngũ của Dedaub là bên đầu tiên nhận diện được vấn đề vốn tái xuất hiện nhiều lần và có thể dẫn đến việc mất tiền của khách hàng. Sau đó, họ thông báo cho nhóm phát triển của Uniswap.
Trong một tweet gần đây, Dedaub tiết lộ rằng họ đã phát hiện ra một lỗi trên các hợp đồng của UniSwap và thông báo cho nhóm về tình trạng bảo mật nghiêm trọng này. Khi nhận được phản hồi, UniSwap đã giải quyết vấn đề và triển khai lại các hợp đồng thông minh Universal Router trên tất cả các chuỗi của mình.
Theo Dedaub, lỗi kỹ thuật như vậy đã mở đường cho các cuộc tấn công tái xuất hiện, điều này sẽ làm cạn kiệt tiền của người dùng.
The Dedaub team has disclosed a Critical vulnerability to the Uniswap team!
Funds are safe – Uniswap addressed the issue and redeployed the Universal Router smart contracts on all its chains 👏
The vulnerability allows re-entertrancy to drain the user's funds, mid-tx.
— Dedaub (@dedaub) January 2, 2023
Sàn DEX hàng đầu thị trường cũng thừa nhận về lỗi trong sản phẩm của mình, sau đó tiến hành sửa chữa và triển khai lại các hợp đồng thông minh Universal Router trên tất cả các mạng của Polygon.
Nhóm Dedaub nhận thấy rằng vấn đề này được thiết lập do Uniswap quyết định giới thiệu Bộ định tuyến đa năng, kết hợp NFT và mã thông báo ERC-20 vào một bộ định tuyến hoán đổi duy nhất.
Trong Proof-of-Concept của họ, nhóm Dedaub lưu ý rằng kẻ tấn công có thể thêm lệnh SWEEP cho tất cả các token còn lại sau khi số tiền ban đầu được gửi đi. Là một phần của giao dịch, người nhận có thể nhanh chóng bị tiêu hao toàn bộ số tiền.
Such commands could include transfers to third party (potentially untrusted) recipients. In a correct implementation, such a transfer should send to the recipient only what the call parameters specify.
And nothing more.
— Dedaub (@dedaub) January 2, 2023
Theo dữ liệu của DefiLlama, sàn DEX hiện đang quản lý 3,27 tỷ USD tài sản, đây là khối tài sản lớn nhất tính theo TVL trong các DEX.
Uniswap kịp thời hành động, “thưởng nóng” cho Dedaub
Đội ngũ phía Dedaub ngay lập tức thông báo cho nhóm phát triển của UniSwap về khả năng xảy ra một cuộc tấn công như vậy. Họ đã khuyên Uniswap thực hiện nhúng khóa re-entrancy vào bộ định tuyến mới của họ trước khi triển khai thực hiện.
Sàn DEX đã ngay lập tức giải quyết vấn đề, thực hiện các điều chỉnh cần thiết trước khi thông qua hợp đồng. Sau khi triển khai lại Universal Router và thêm “khóa re-entrancy vào hoạt động cốt lõi”, tài sản trên nền tảng hiện đã được bảo mật.
Dedaub đã được Uniswap trao tặng 40,000$ như một phần của chương trình phát hiện lỗi trị giá 3 triệu USD do ông lớn DeFi này khởi động.
Tuy nhiên, phía Uniswap đánh giá lỗ hổng này là một lỗi có khả năng gây tác động lớn tuy nhiên xác suất xảy ra lại khá thấp bởi tính phức tạp của nó.
BlockSolFi tổng hợp
Tham gia bàn luận ngay cùng BlockSolFi tại Telegram và Facebook.
Đọc thêm:
Sam Bankman-Fried khẳng định bản thân vô tội trước 8 cáo buộc xoay quanh vụ sụp đổ của FTX
Prada sẽ tiếp tục ra mắt phiên bản thứ 8 của series NFT mang tên Timecapsule
Bài viết gần đây
Bài viết liên quan
Sàn Coinbase đã đưa ra lập luận phản bác phán quyết mới đây của SEC rằng staking là một loại hình chứng khoán trá hình. Coinbase tuyên bố sản phẩm staking của sàn không phải là “chứng khoán” Giám đốc Pháp lý Paul Grewal của Coinbase đã nhấn mạnh rằng sản phẩm staking của mình […]
Công ty xử lý thanh toán PayPal bất ngờ cho dừng dự án xây dựng một đồng stablecoin riêng sau khi Mỹ có nhiều động thái kiểm soát chặt chẽ ngành crypto. PayPal ‘đóng băng’ dự án stablecoin Theo Bloomberg, gã khổng lồ thanh toán PayPal đã quyết định tạm ngưng kế hoạch triển khai […]
Đề xuất triển khai Uniswap V3 trên BNB Chain (BNB) đã được thông qua với 65,89% phiếu đồng ý vào ngày 10/02 mặc cho nổ lực của phía Andreessen Horowitz (a16z) khi dùng đến 15 triệu phiếu bầu để phản đối vào ngày 06/02. UniSwap thông qua đề xuất triển khai V3 lên BNB Chain […]
Mysten Labs, tổ chức chịu trách nhiệm phát triển blockchain Sui, đã tuyên bố hợp tác với dịch vụ đám mây của Tencent, nơi được biết đến là nền tảng gaming lớn nhất tại Trung Quốc. Mysten Labs “bắt tay” vưới Tencent Cloud Các thông cáo báo chí chỉ ra rằng quan hệ đối tác […]
ENS DAO dự kiến sẽ nhận được khoảng 13 triệu USD từ việc bán hàng và sẽ sử dụng số tiền này để trang trải chi phí hoạt động trong 18-24 tháng tới. Việc bán sẽ được thực hiện trong 1 lần giao dịch duy nhất trên CoW Swap thay vì nhiều đợt. ENS DAO […]
GHO tham gia vào một cuộc chơi ngày càng cạnh tranh khi các giao thức DeFi đối thủ cũng phát hành hoặc đang chuyển sang phát hành các stablecoin chạy trên giao thức của riêng họ. Aave khởi chạy GHO trên testnet Goerlin Vào ngày 09/02 vừa qua, Aave, một trong những giao thức tài […]
Đơn vị phát hành stablecoin Paxos đang bị giới chức bang New York điều tra, song chưa rõ lý do. Kéo theo đó, đồng stablecoin Paxos Dollar USDP đã nhanh chóng trượt khỏi mốc 1 USD. Paxos Dollar (USDP) depeg 1 USD USDP stablecoin đã mất peg trong thời gian ngắn vào ngày 10 tháng 2 […]
Theo DappRadar, tổng giá trị của hệ sinh thái Ethereum NFT đã giảm từ 9,3 tỷ đô la lên 3,7 tỷ đô la vào năm 2022 — giảm 59,6%. Vốn hóa thị trường Ethereum NFT giảm hơn 59% Vào ngày 9 tháng 2, DappRadar đã công bố một báo cáo cho thấy giá trị vốn […]
Rạng sáng nay, đội ngũ Optimism bất ngờ thông báo airdrop OP đợt 2 cho cộng đồng. Và như “thường lệ”, token OP của dự án lao dốc vì nguồn cung tăng bất thường. Token OP lao dốc hậu Airdrop Hôm nay, ngày 10 tháng 2, theo một bài đăng trên blog của team chuỗi […]
Sàn giao dịch crypto Kraken sẽ phải trả một khoản tiền phạt lớn và đối mặt với lệnh cấm hoạt động vĩnh viễn. Thị trường lay động khi SEC “chấm dứt” hoạt động staking của Kraken Theo thông báo từ cơ quan quản lý vào ngày 9 tháng 2. Sàn giao dịch tiền mã hóa […]
Crytopedia
Rollup là gì mà có thể mở ra “Layer-2 War”. Cùng tìm hiểu qua bối cảnh xuất hiện và vai trò của loại công nghệ này qua bài viết sau đây. Layer 2 từng là chủ đề vô cùng nóng hổi cách đây vài năm khi lần đầu tiên rộ lên chủ đề về khả […]
Khi phát triển ý tưởng cho một dự án crypto mới, cần hiểu rằng công nghệ mới không đồng nghĩa với một sản phẩm tốt, và mối quan hệ giữa hai yếu tố này là không tương đồng. Ví dụ kinh điển nhất để giải thích cho điều này là iPhone. Mối quan hệ nào […]
Nhờ công nghệ blockchain nên các dữ liệu được công khai. Do đó, nếu tận dụng tốt những công cụ phân tích tiền mã hoá trong thời gian thực, người dùng sẽ mở khoá rất nhiều cơ hội tìm được “hidden gem”. Các công cụ phân tích tiền mã hoá cần phải “nắm trong lòng bàn […]
Aptos và Sui Blockchain là hai dự án thu hút được rất nhiều sự quan tâm của giới crypto trong thời gian qua khi được giới thiệu như các “blockchain thế hệ mới”, giải mã vấn đề nan giải của những người đi trước. Vậy hai blockchain có nguồn gốc từ “đống tàn tro” của […]
Thị trường NFT vẫn đang trong giai đoạn còn rất non trẻ kéo theo đó là những hoạt động wash trading không ngừng diễn ra và sôi nổi hơn bao giờ hết. Điều này khiến cho việc định giá một bộ sưu tập NFT dường như là không thể khi mà giá trị giao dịch […]
Những khái niệm quen thuộc như coin hay Token tưởng chừng vô cùng cơ bản nhưng gây nên không ít bối rối cho phía nhà đầu tư khi mà trong tiến trình phát triển nhanh chóng của thị trường mã hóa, hầu như các nhà giao dịch đều cảm thấy chúng không có sự khác […]
NFT không phải là một dấu hiệu của sự lừa dối hay một mánh lới quảng cáo cường điệu hóa, và ngành công nghiệp NFT không thể rơi vào con đường sai lầm của “nhanh nở, chóng tàn” như nhan nhản các ý tưởng “ăn xổi” thường thấy trong thị trường mã hóa. NFT chỉ […]
Nhu cầu vô cùng ảo do NFT tạo nên là nhu cầu phi vật chất đầu tiên trong lịch sử loài người, và nó vẫn đang ở trong tình trạng hỗn loạn, đầy mơ hồ. Bên cạnh đó, nguồn cung của NFT không hề hữu hạn như cách chúng ta vẫn thường lầm tưởng. Bài […]
Những ai đã từng tìm hiểu qua các loại công nghệ tiêu biểu của blockchain chắc hẳn không mấy xa lạ với khái niệm “Zero-knowledge Proofs”, vốn được ví như món quà may mắn của Web3. Vậy loại công nghệ này cơ bản được sử dụng để làm gì và ứng dụng như thế nào? […]
Chúng ta hãy cùng xem xét lợi suất cho vay stablecoin đối với giao thức tài chính phi tập trung (DeFi) của Compound Finance V2 và phân tích xem, hiệu suất lợi nhuận, sự biến động và những yếu tố nào đang thúc đẩy lợi suất cho vay thế chấp các stablecoin thông qua giao […]
