DEX「ユニスワップ」に脆弱性、早急な修正により被害ゼロ

ユニスワップに脆弱性みつかる

現在最も利用されている分散型金融(DeFi)プロトコル「ユニスワップ(Uniswap)」のスマートコントラクト内に脆弱性が発見された。セキュリティ監査会社ディダーブ(Dedaub)が1月3日に発表した。

今回発見された脆弱性は、「ユニスワップ」が昨年11月17日に新たに公開した機能「ユニバーサルルーター(Universal Router)」を実装するスマートコントラクトに原因があったという。なお「ユニバーサルルーター」はガス代の節約を目的に、複数のトークンとNFTのスワップを一つだけのトランザクションで行えるようにする機能。

この脆弱性を利用することで、「ユニバーサルルーター」を利用したトランザクションの途中で資産を盗み出すことができたという。

ディダーブによると、「再入可能ロック」という機能を実装したスマートコントラクトを新たに「ユニスワップ」にデプロイすることで、今回発見された脆弱性への対処は完了したとのことで、すでに「ユニスワップ」は安全な状態にあるという。

なお「ユニスワップ」では、ユーザーの資産が危険にさらされるようなバグを発見した場合、バグの重大度に応じて最大で225万ドルの報酬金を支払う、バグバウンティプログラムが実施されている。

同プログラムでの脆弱性は「クリティカル」、「ハイ」、「ミディアム」、「ロー/インフォメーショナル」の4つのレベルに分けられており、今回発見されたバグは比較的リスクが小さいと判断される「ミディアム」に該当するもので、報酬金として4万ドルがディダーブに支払われたという。

ディダーブ創設者ヤニス・スマラグダキス(Yannis Smaragdakis)氏は「私たちはバグレポートを提出し、報酬金を受け取ることができ、感謝しています。私たちの知る限りではユニスワップがスマートコントラクトを修正し、ユニバーサルルーターをデプロイするようなバグレポートは私たちのもののみです」と自身のミディアムでコメントしている。  

関連ニュース

ユニスワップにNFTアグリゲーター機能、GenieユーザーにUSDCエアドロップも

ユニスワップ(UNI)がユーザーのオンチェーンデータ取得開始、UX向上目的に

ユニスワップラボ、Polychainやa16zらから約243億円調達

ロビンフッドで「ユニスワップ(UNI)」上場

分散型取引所ユニスワップV3、ポリゴンで正式稼働

参考:Dedaub
デザイン:一本寿和
images:iStocks/koyu

関連するキーワード

この記事の著者・インタビューイ

田村聖次

和歌山大学システム工学部所属 格闘技やオーケストラ、茶道など幅広い趣味を持つ。 SNSでは、チェコ人という名義で、ブロックチェーンエンジニアや、マーケターとしても活動している。「あたらしい経済」の外部記者として記事の執筆も。

合わせて読みたい記事

【11/1話題】イミュータブルがSECからウェルズ通知、アルゼンチンLABITCONFがサトシの正体明かすと告知など(音声ニュース)

イミュータブルが米SECからウェルズ通知受ける、「IMX」証券性の疑いか、アルゼンチンのカンファレンス「LABITCONF」、サトシ・ナカモトが正体明かすと告知、フランクリン・テンプルトン、「オンチェーン米国政府マネーファンド」をイーサL2「Base」に展開、Crypto[.]comがSEC登録ブローカーディーラー買収、米国ユーザーに株式取引機会提供へ、セキュリタイズ、トークン化資産の管理機能統合の「Securitize Fund Services」立ち上げ、米マイクロストラテジー、「21/21プラン」で420億ドル調達を計画、ビットコイン購入資金で、BIS、中国主導の「中銀デジタル通貨」プロジェクトから離脱、Sui対応の携帯型ゲーム機「SuiPlay0X1」、格闘ゲーム『サムライスピリッツR』リリースへ、ヴィタリック、イーサリアム最後のチェックポイント「ザ・スプラージ」解説、バイナンス共同創業者、「Web3が身近な社会実現目指す」と語る。伝統的金融や規制当局と協力の姿勢も=BBW

広告

アルゼンチンのカンファレンス「LABITCONF」、サトシ・ナカモトが正体明かすと告知(有識者コメントあり)

アルゼンチンで11月1日から開催されるビットコイン(Bitcoin)のカンファレンス「LABITCONF(Latin American Bitcoin & Blockchain Conference)」にて、ビットコインの考案者であるサトシ・ナカモトが自身の正体を明らかにすると、同カンファレンスの公式Xよりプレスリリースが出された