Белая шляпа потенциально экономит SushiSwap $350 млн, обнаружив «очевидный» эксплойт

Децентрализованная биржа SushiSwap едва избежала стать последней жертвой взлома DeFi благодаря помощи хакера в белой шляпе.

Исследователю безопасности из венчурной компании Paradigm, известной в Твиттере как «samczsun», удалось спасти SushiSwap и его платформу MISO от потенциальной потери до 109 000 ETH.

В сообщении в блоге, опубликованном 17 августа, программист описал, как он начал изучать код смарт-контракта для продажи токенов BitDAO на платформе запуска токенов SushiSwap, MISO.

При более внимательном рассмотрении он обнаружил изъян в контракте с голландским аукционом MISO, из-за которого в некоторых функциях отсутствовал контроль доступа.

“I didn’t really expect this to be a vulnerability though, since I didn’t expect the Sushi team to make such an obvious misstep.”

После более глубокого расследования «белая шляпа» обнаружила уязвимость, которая в случае использования может привести к тому, что все криптовалютные активы в контракте аукциона токенов будут истощены злоумышленником.Злоумышленник может многократно использовать один и тот же ETH для групповых вызовов контракта и «делать ставки на аукционе бесплатно».

Samczsun проверил уязвимость с помощью успешного эксплойта, прежде чем связаться с коллегами Георгиосом Константопулосом и Дэном Робинсоном, чтобы посмотреть и перепроверить результаты.Он также обнаружил, что хакер может украсть средства из контракта, вызвав возврат, отправив более высокую сумму ETH, чем установленный на аукционе жесткий предел.

“Suddenly, my little vulnerability just got a lot bigger. I wasn’t dealing with a bug that would let you outbid other participants. I was looking at a 350 million dollar bug.”

По теме: взлом Poly Network выявляет недостатки DeFi, но сообщество приходит на помощь

Пришло время обратиться к техническому директору SushiSwap Джозефу Делонгу и сформулировать план спасения до того, как эксплойт будет обнаружен в дикой природе.Было решено, что команда BitDAO, проводящая продажу токенов, вручную завершит аукцион, купив оставшееся распределение и немедленно завершив процесс и спасая средства.

Компания SushiSwap отметила, что средства не были потеряны при спасении, добавив, что она приостановит использование своего голландского формата аукциона MISO до тех пор, пока смарт-контракт не будет обновлен.Член криптовалютного сообщества «DC Investor» прокомментировал:

“Everyone knows Paradigm has big UNI/Uniswap bags, but Sam from their team just helped save SushiSwap (an ostensible competitor) from a critical bug. This is the ethos of the space among the best actors.”

Продажа токенов BitDAO прошла без сучка и задоринки, собрав более 112000 ETH на сумму около 336 миллионов долларов от более чем 9200 участников, согласно твиту из протокола 17 августа.

Spread the love
12345 (Пока оценок нет)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *