AT
Контракты юнисвопа не обновляются
Size: a a a
2020 April 18
kk
Контракты юнисвопа не обновляются
т.е. для лечения уязвимости необходимо написать и развернуть новый контракт с исправлением, правильно понимаю? Еще раз прошу прощения, если вопросы детские. Если есть куда отправить почитать на русском или не самом сложном английском - буду признателен.
AT
Юнисвап— это контракт, который не обновляется вообще никак, у него нет governance
В основе лежит контракт-фабрика, для каждой новой пары можно создать новый контракт вызвав специальный метод этой фабрики
Если контракт для этого токена уже был создан— он сохраняется в стейте и больше не создается
В данном случае уязвимость заключается в том, что метод transferFrom токена может вызвать опять метод обмена на юнисвопе, в этом случае атакующий может купить токены по неправильной цене
Прочитать об этом можно в результатах аудита:
https://github.com/ConsenSys/Uniswap-audit-report-2018-12#31-liquidity-pool-can-be-stolen-in-some-tokens-eg-erc-777-29
Пофиксить это никак нельзя, единственный способ проверять контракты токенов, которыми вы собираетесь торговать и если с их помощью можно совершить такую атаку не использовать их с uniswap
Сейчас uniswap представил вторую версию, там другой механизм депозита, поэтому такой уязвимости не может быть в принципе
В основе лежит контракт-фабрика, для каждой новой пары можно создать новый контракт вызвав специальный метод этой фабрики
Если контракт для этого токена уже был создан— он сохраняется в стейте и больше не создается
В данном случае уязвимость заключается в том, что метод transferFrom токена может вызвать опять метод обмена на юнисвопе, в этом случае атакующий может купить токены по неправильной цене
Прочитать об этом можно в результатах аудита:
https://github.com/ConsenSys/Uniswap-audit-report-2018-12#31-liquidity-pool-can-be-stolen-in-some-tokens-eg-erc-777-29
Пофиксить это никак нельзя, единственный способ проверять контракты токенов, которыми вы собираетесь торговать и если с их помощью можно совершить такую атаку не использовать их с uniswap
Сейчас uniswap представил вторую версию, там другой механизм депозита, поэтому такой уязвимости не может быть в принципе
AS
День добрый, прошу прощения, если вопрос глупый, а разве без апгрейда очень высокого уровня (форк?) можно достичь заплатки в такого типа проектах?
Я глубоко не разбирался, как устроен их проект, и что там за баг.
1) Форк там точно не нужен
2) Если баг в смарт-контракте, то можно переехать на другой смарт-контракт, где эта уязвимость исправлена. Они же обновляют версии как-то. Недавно вот v2 выкатили.
3) Возможно, можно штатными средствами смарт-контракта ограничить работу с уязвимыми токенами.
4) Если все вышеперечисленное по какой-то причине невозможно, то имхо разработчик обязан большими красными буквами предупреждать пользователей об этой уязвимости, чтобы они не пользовались «опасными» парами.
1) Форк там точно не нужен
2) Если баг в смарт-контракте, то можно переехать на другой смарт-контракт, где эта уязвимость исправлена. Они же обновляют версии как-то. Недавно вот v2 выкатили.
3) Возможно, можно штатными средствами смарт-контракта ограничить работу с уязвимыми токенами.
4) Если все вышеперечисленное по какой-то причине невозможно, то имхо разработчик обязан большими красными буквами предупреждать пользователей об этой уязвимости, чтобы они не пользовались «опасными» парами.
kk
Я глубоко не разбирался, как устроен их проект, и что там за баг.
1) Форк там точно не нужен
2) Если баг в смарт-контракте, то можно переехать на другой смарт-контракт, где эта уязвимость исправлена. Они же обновляют версии как-то. Недавно вот v2 выкатили.
3) Возможно, можно штатными средствами смарт-контракта ограничить работу с уязвимыми токенами.
4) Если все вышеперечисленное по какой-то причине невозможно, то имхо разработчик обязан большими красными буквами предупреждать пользователей об этой уязвимости, чтобы они не пользовались «опасными» парами.
1) Форк там точно не нужен
2) Если баг в смарт-контракте, то можно переехать на другой смарт-контракт, где эта уязвимость исправлена. Они же обновляют версии как-то. Недавно вот v2 выкатили.
3) Возможно, можно штатными средствами смарт-контракта ограничить работу с уязвимыми токенами.
4) Если все вышеперечисленное по какой-то причине невозможно, то имхо разработчик обязан большими красными буквами предупреждать пользователей об этой уязвимости, чтобы они не пользовались «опасными» парами.
Большое спасибо за доступное изложение.
kk
Юнисвап— это контракт, который не обновляется вообще никак, у него нет governance
В основе лежит контракт-фабрика, для каждой новой пары можно создать новый контракт вызвав специальный метод этой фабрики
Если контракт для этого токена уже был создан— он сохраняется в стейте и больше не создается
В данном случае уязвимость заключается в том, что метод transferFrom токена может вызвать опять метод обмена на юнисвопе, в этом случае атакующий может купить токены по неправильной цене
Прочитать об этом можно в результатах аудита:
https://github.com/ConsenSys/Uniswap-audit-report-2018-12#31-liquidity-pool-can-be-stolen-in-some-tokens-eg-erc-777-29
Пофиксить это никак нельзя, единственный способ проверять контракты токенов, которыми вы собираетесь торговать и если с их помощью можно совершить такую атаку не использовать их с uniswap
Сейчас uniswap представил вторую версию, там другой механизм депозита, поэтому такой уязвимости не может быть в принципе
В основе лежит контракт-фабрика, для каждой новой пары можно создать новый контракт вызвав специальный метод этой фабрики
Если контракт для этого токена уже был создан— он сохраняется в стейте и больше не создается
В данном случае уязвимость заключается в том, что метод transferFrom токена может вызвать опять метод обмена на юнисвопе, в этом случае атакующий может купить токены по неправильной цене
Прочитать об этом можно в результатах аудита:
https://github.com/ConsenSys/Uniswap-audit-report-2018-12#31-liquidity-pool-can-be-stolen-in-some-tokens-eg-erc-777-29
Пофиксить это никак нельзя, единственный способ проверять контракты токенов, которыми вы собираетесь торговать и если с их помощью можно совершить такую атаку не использовать их с uniswap
Сейчас uniswap представил вторую версию, там другой механизм депозита, поэтому такой уязвимости не может быть в принципе
Так же мой поклон за разъяснения.
AS
Вопрос к уважаемым слушателям: где сейчас модно покупать эфир за фиат? Желательно по-панковски, п2п и трастлесс. До этого эфир как-то сам ко мне попадал, поэтому не было нужды об этом задумываться.
CB
Возможно на binance p2p
CB
Либо bestchange, если прям хардкорно
DB
Вопрос к уважаемым слушателям: где сейчас модно покупать эфир за фиат? Желательно по-панковски, п2п и трастлесс. До этого эфир как-то сам ко мне попадал, поэтому не было нужды об этом задумываться.
В ботах покупай, самое простоп
AS
ссылки можно?
DB
ссылки можно?
Это же все знают 🤣 капец ты отсталый)))
ST
Это же все знают 🤣 капец ты отсталый)))
капец ты учтивый! предупреждение
AS
Это же все знают 🤣 капец ты отсталый)))
NM
Вопрос к уважаемым слушателям: где сейчас модно покупать эфир за фиат? Желательно по-панковски, п2п и трастлесс. До этого эфир как-то сам ко мне попадал, поэтому не было нужды об этом задумываться.
Localcrypto (ex-Local Ethereum) более менее trustless
DB
Спасибо, исправил!
2020 April 19
PK
Это же все знают 🤣 капец ты отсталый)))
Сразу 4 греха в одной строчке - это комбо. (Токсичненько. Оценочное суждение. Обобщение. Переход на личность.)
PK
Хм, Саша спросил про trustless решение.
Я даже боюсь спрашивать: как и где эта штука и где хранит приватный ключ? Is it safu?
Я даже боюсь спрашивать: как и где эта штука и где хранит приватный ключ? Is it safu?
PK
О, кто-то поломал Uniswap.
Ну не юнисвап как таковой, а перегруженный непротестированым функционалом 777 токен.