Zdecentralizowana giełda SushiSwap ledwo uniknęła stania się najnowszą ofiarą włamania DeFi dzięki pomocy hakera z białym kapeluszem.
Badaczowi bezpieczeństwa z firmy Paradigm, znanej na Twitterze jako „samczsun”, udało się uratować SushiSwap i jego platformę MISO przed potencjalną utratą aż 109 000 ETH.
Nasze najlepsze roboty biznesowe
W poście na blogu opublikowanym 17 sierpnia programista opisał, jak zaczął badać kod inteligentnej umowy do sprzedaży tokenów BitDAO na platformie startowej tokenów SushiSwap, MISO.
Po bliższym przyjrzeniu się znalazł błąd w holenderskim kontrakcie aukcyjnym MISO, który polegał na tym, że niektóre funkcje nie miały kontroli dostępu.
„Nie spodziewałem się jednak, że będzie to luka, ponieważ nie spodziewałem się, że zespół Sushi popełni tak oczywisty błąd”.
Po głębszym zbadaniu biały kapelusz odkrył lukę, która, jeśli zostanie wykorzystana, może spowodować, że wszystkie zasoby kryptograficzne zawarte w umowie aukcyjnej tokenów zostaną opróżnione przez złośliwego aktora. Atakujący może w kółko używać tego samego ETH, aby zgrupować wiele połączeń z umową i „za darmo licytować w aukcji”.
Samczsun przetestował lukę za pomocą udanego exploita, po czym skontaktował się z kolegami Georgiosem Konstantopoulosem i Danem Robinsonem w celu przyjrzenia się i ponownego sprawdzenia wyników. Odkrył również, że haker może ukraść środki z umowy, uruchamiając zwrot pieniędzy, wysyłając wyższą kwotę ETH niż twardy limit aukcji.
„Nagle moja mała podatność stała się znacznie większa. Nie miałem do czynienia z błędem, który pozwoliłby przelicytować innych uczestników. Patrzyłem na robaka o wartości 350 milionów dolarów”.
Związane z: Hakowanie Poly Network ujawnia wady DeFi, ale społeczność przychodzi na ratunek
Nadszedł czas, aby skontaktować się z dyrektorem ds. technologii SushiSwap Josephem Delongiem, aby opracować plan ratunkowy, zanim exploit zostanie odkryty na wolności. Zdecydowano, że zespół BitDAO prowadzący sprzedaż tokenów ręcznie zakończy aukcję, kupując pozostałą alokację i natychmiast finalizując proces i ratując środki.
SushiSwap zauważył, że żadne środki nie zostały utracone podczas działań ratowniczych, dodając, że wstrzyma korzystanie z holenderskiego formatu aukcji MISO do czasu aktualizacji inteligentnej umowy. Członek społeczności Crypto „DC Investor” skomentował:
„Wszyscy wiedzą, że Paradigm ma duże torby UNI / Uniswap, ale Sam z ich zespołu właśnie pomógł uratować SushiSwap (rzekomego konkurenta) przed krytycznym błędem. To etos przestrzeni wśród najlepszych aktorów.”
Sprzedaż tokenów BitDAO przebiegła bez przeszkód, przynosząc ponad 112 000 ETH, o wartości około 336 milionów dolarów, od ponad 9 200 uczestników, zgodnie z tweetem z protokołu z 17 sierpnia.
Przeczytaj o Cointelegraph