Die dezentrale Börse SushiSwap hat es dank der Hilfe eines White-Hat-Hackers nur knapp vermieden, das neueste DeFi-Hack-Opfer zu werden.
Ein Sicherheitsforscher der Venture-Capital-Firma Paradigm, auf Twitter als „samczsun“ bekannt, hat es geschafft, SushiSwap und seine MISO-Plattform vor einem möglichen Verlust von bis zu 109.000 ETH zu bewahren.
Unsere Top Trading Bots
In einem am 17. August veröffentlichten Blog-Beitrag beschrieb der Programmierer, wie er begann, den Smart-Contract-Code für den BitDAO-Token-Verkauf auf der Token-Launchpad-Plattform von SushiSwap, MISO, zu untersuchen.
Bei näherer Betrachtung entdeckte er einen Fehler im niederländischen MISO-Auktionsvertrag, bei dem es bei einigen Funktionen keine Zugangskontrollen gab.
„Ich habe jedoch nicht wirklich erwartet, dass dies eine Schwachstelle ist, da ich nicht erwartet habe, dass das Sushi-Team einen so offensichtlichen Fehltritt macht.“
Bei eingehenderen Untersuchungen entdeckte der White Hat eine Schwachstelle, die bei Ausnutzung dazu führen könnte, dass alle Krypto-Assets im Token-Auktionsvertrag von einem böswilligen Akteur geleert werden. Ein Angreifer könnte dieselbe ETH immer wieder verwenden, um mehrere Aufrufe für den Vertrag zu sammeln und „kostenlos in der Auktion zu bieten“.
Samczsun testete die Schwachstelle mit einem erfolgreichen Exploit, bevor er sich mit den Kollegen Georgios Konstantopoulos und Dan Robinson in Verbindung setzte, um die Ergebnisse zu überprüfen. Er entdeckte auch, dass ein Hacker die Gelder aus dem Vertrag stehlen konnte, indem er eine Rückerstattung auslöste, indem er einen höheren ETH-Betrag als die Auktions-Hard-Cap sendete.
„Plötzlich wurde meine kleine Verletzlichkeit viel größer. Ich habe es nicht mit einem Fehler zu tun, der es Ihnen ermöglicht, andere Teilnehmer zu überbieten. Ich habe mir einen 350-Millionen-Dollar-Bug angesehen.“
Verbunden: Poly Network-Hack deckt DeFi-Fehler auf, aber die Community kommt zur Rettung
Dann war es an der Zeit, Joseph Delong, CTO von SushiSwap, zu kontaktieren, um einen Rettungsplan zu formulieren, bevor der Exploit in freier Wildbahn entdeckt wurde. Es wurde beschlossen, dass das BitDAO-Team, das den Token-Verkauf hält, die Auktion manuell beendet, indem es die verbleibende Zuteilung kauft und den Prozess sofort abschließt und die Gelder rettet.
SushiSwap stellte fest, dass bei den Bergungsbemühungen keine Gelder verloren gingen, und fügte hinzu, dass die Verwendung seines niederländischen MISO-Auktionsformats ausgesetzt wird, bis der Smart Contract aktualisiert werden kann. Das Crypto-Community-Mitglied „DC Investor“ kommentierte:
„Jeder weiß, dass Paradigm große UNI-/Uniswap-Taschen hat, aber Sam von seinem Team hat gerade dabei geholfen, SushiSwap (einen angeblichen Konkurrenten) vor einem kritischen Fehler zu retten. Das ist das Ethos des Raums unter den besten Schauspielern.“
Der Verkauf von BitDAO-Token verlief reibungslos und brachte laut einem Tweet aus dem Protokoll vom 17. August mehr als 112.000 ETH im Wert von rund 336 Millionen US-Dollar von über 9.200 Teilnehmern ein.
Lesen Sie weiter über Cointelegraph