ユニスワップに脆弱性みつかる
現在最も利用されている分散型金融(DeFi)プロトコル「ユニスワップ(Uniswap)」のスマートコントラクト内に脆弱性が発見された。セキュリティ監査会社ディダーブ(Dedaub)が1月3日に発表した。
今回発見された脆弱性は、「ユニスワップ」が昨年11月17日に新たに公開した機能「ユニバーサルルーター(Universal Router)」を実装するスマートコントラクトに原因があったという。なお「ユニバーサルルーター」はガス代の節約を目的に、複数のトークンとNFTのスワップを一つだけのトランザクションで行えるようにする機能。
この脆弱性を利用することで、「ユニバーサルルーター」を利用したトランザクションの途中で資産を盗み出すことができたという。
ディダーブによると、「再入可能ロック」という機能を実装したスマートコントラクトを新たに「ユニスワップ」にデプロイすることで、今回発見された脆弱性への対処は完了したとのことで、すでに「ユニスワップ」は安全な状態にあるという。
なお「ユニスワップ」では、ユーザーの資産が危険にさらされるようなバグを発見した場合、バグの重大度に応じて最大で225万ドルの報酬金を支払う、バグバウンティプログラムが実施されている。
同プログラムでの脆弱性は「クリティカル」、「ハイ」、「ミディアム」、「ロー/インフォメーショナル」の4つのレベルに分けられており、今回発見されたバグは比較的リスクが小さいと判断される「ミディアム」に該当するもので、報酬金として4万ドルがディダーブに支払われたという。
ディダーブ創設者ヤニス・スマラグダキス(Yannis Smaragdakis)氏は「私たちはバグレポートを提出し、報酬金を受け取ることができ、感謝しています。私たちの知る限りではユニスワップがスマートコントラクトを修正し、ユニバーサルルーターをデプロイするようなバグレポートは私たちのもののみです」と自身のミディアムでコメントしている。
関連ニュース
ユニスワップにNFTアグリゲーター機能、GenieユーザーにUSDCエアドロップも
ユニスワップ(UNI)がユーザーのオンチェーンデータ取得開始、UX向上目的に
ユニスワップラボ、Polychainやa16zらから約243億円調達
参考:Dedaub
デザイン:一本寿和
images:iStocks/koyu