De gedecentraliseerde uitwisseling van SushiSwap is ternauwernood voorkomen om het nieuwste slachtoffer van DeFi-hack te worden dankzij de hulp van een white hat-hacker.
Een beveiligingsonderzoeker van durfkapitaalbedrijf Paradigm, op Twitter bekend als "samczsun", is erin geslaagd SushiSwap en zijn MISO-platform te redden van een mogelijk verlies van maar liefst 109.000 ETH.
Onze beste handelsrobots
In een blogpost die op 17 augustus werd gepubliceerd, beschreef de programmeur hoe hij begon met het onderzoeken van de slimme contractcode voor de BitDAO-tokenverkoop op SushiSwap's token launchpad-platform, MISO.
Bij nader inzien ontdekte hij een fout in het MISO Dutch veilingcontract waarbij sommige functies geen toegangscontrole hadden.
"Ik had echter niet echt verwacht dat dit een kwetsbaarheid zou zijn, omdat ik niet had verwacht dat het Sushi-team zo'n duidelijke misstap zou maken."
Na dieper onderzoek ontdekte de witte hoed een kwetsbaarheid die, indien misbruikt, ertoe zou kunnen leiden dat alle crypto-activa in het tokenveilingcontract worden leeggemaakt door een kwaadwillende actor. Een aanvaller kan dezelfde ETH steeds opnieuw gebruiken om meerdere oproepen naar het contract te batchen en 'gratis mee te bieden op de veiling'.
Samczsun testte de kwetsbaarheid met een succesvolle exploit voordat hij contact opnam met collega's Georgios Konstantopoulos en Dan Robinson om de bevindingen te bekijken en dubbel te controleren. Hij ontdekte ook dat een hacker het geld van het contract kon stelen door een terugbetaling te activeren door een hoger bedrag aan ETH te sturen dan de hardcap van de veiling.
“Plots werd mijn kleine kwetsbaarheid een stuk groter. Ik had niet te maken met een bug waardoor je andere deelnemers zou overbieden. Ik keek naar een bug van 350 miljoen dollar.”
Verwant: Poly Network-hack legt DeFi-fouten bloot, maar community komt te hulp
Het was toen tijd om contact op te nemen met SushiSwap CTO Joseph Delong om een reddingsplan te formuleren voordat de exploit in het wild werd ontdekt. Er werd besloten dat het BitDAO-team dat de tokenverkoop hield de veiling handmatig zou beëindigen door de resterende toewijzing te kopen en het proces onmiddellijk af te ronden en het geld te redden.
SushiSwap merkte op dat er geen geld verloren ging bij de berging, en voegde eraan toe dat het het gebruik van zijn MISO Nederlandse veilingformaat zal pauzeren totdat het slimme contract kan worden bijgewerkt. Crypto-communitylid "DC Investor" merkte op:
“Iedereen weet dat Paradigm grote UNI/Uniswap-tassen heeft, maar Sam van hun team heeft net geholpen om SushiSwap (een ogenschijnlijke concurrent) te redden van een kritieke bug. Dit is het ethos van de ruimte tussen de beste acteurs.”
De verkoop van BitDAO-tokens verliep probleemloos en bracht meer dan 112.000 ETH op, met een waarde van ongeveer $ 336 miljoen, van meer dan 9.200 deelnemers volgens een tweet van het protocol op 17 augustus.
Lees verder over CoinTelegraph