Uniswap’ın kısa süre önce başlattığı bug bounty programı, yeni nesil bir güvenli açığı önlemi olarak düşünülebilir. Uniswap’ın hata tespit etme ödül programı sayesinde, Universal Router akıllı sözleşmesinde meydana gelen bir sistem açığı keşfedildi. 

Uniswap, Kasım 2022’de Permit2 ve Universal Router isminde iki akıllı sözleme daha başlatmıştı. Bu iki akıllı sözleşmelerin özelliklerine bakacak olursak; Permit2, token onaylarının farklı uygulamalar arasında paylaşılmasına ve yönetilmesine izin veriyor. Universal Router ise ERC-20 ve NFT'leri tek bir takas yönlendiricide bir araya getiriyor. 

Bilindiği üzere Uniswap, protokolünün güvenliğini korumak için 2022 yılının sonuna doğru akıllı sözleşmelerindeki potansiyel güvenlik açıklarını belirlemek için kazançlı bir hata ödül programının başlatılacağına ilişkin reklam yapmıştı. 

Bununla birlikte akıllı sözleşme güvenlik ve denetim şirketi Dedaub, Universal Router akıllı sözleşmesinde bir güvenlik açığı tespit etti. Universal Router’daki güvenlik açığını tespit eden Dedaub, Uniswap tarafından yazılım hatası bulma ödülü aldığını açıkladı. 

Uniswap'tan Dedaub'a 40 bin dolarlık ödül

Dedaub, bir transfer işlemi esnasında üçüncü taraf kodunun uygulamaya koyulduğunu ve kodun Universal Router’a yeniden girmesine ve sözleşmede geçici olarak bulunan token’ları talep etmesine izin veren bir güvenlik açığı tespit etti. 

Denetim şirketi bunun üzerine tespit ettiği güvenlik açığına ilişkin basit bir çözüm önerisinde bulundu. Dedaub, Uniswap ekibine çekirdek uygulamasına yeni bir giriş kilidi eklemeleri konusunda tavsiyede bulundu. Dedaub’ın tespit etmiş olduğu güvenlik açığı ve söz konusu açığın nasıl giderileceğine ilişkin verdiği tavsiyenin üzerine Uniswap, denetim şirketine 40 bin dolarlık bir hata ödülü verdi.  

Uniswap, ayrıca meydana gelen güvenlik açığını orta derecede bir açık olarak değerlendirdi. Ancak diğer analiz şirketleri ise bahsi geçen sistem açığını yüksek etkide ancak düşük olasılığa sahip olarak nitelendirdiler.