новости о криптовалюте | цифровых активах | блокчейн-технологий

Белая шляпа потенциально экономит SushiSwap $ 350 млн, обнаружив «очевидный» эксплойт

13

Исследователь безопасности обнаружил недостаток в смарт-контракте голландского аукциона, который мог привести к потере 109000 ETH.

Децентрализованная биржа SushiSwap едва избежала стать последней жертвой взлома DeFi благодаря помощи хакера в белой шляпе.

- Реклама -

Исследователю безопасности из венчурной компании Paradigm, известной в Твиттере как samczsun, удалось спасти SushiSwap и его платформу MISO от потенциальной потери до 109 000 ETH.

В сообщении в блоге, опубликованном 17 августа, программист описал, как он начал изучать код смарт-контракта для продажи токенов BitDAO на платформе запуска токенов SushiSwap, MISO.

При ближайшем рассмотрении он обнаружил изъян в контракте на аукцион MISO Dutch, в соответствии с которым некоторые функции не имели контроля доступа.

«Я действительно не ожидал, что это будет уязвимость, так как я не ожидал, что команда суши сделает такую очевидную ошибку».

После более глубокого расследования «белая шляпа» обнаружила уязвимость, которая в случае эксплуатации может привести к тому, что все криптоактивы в контракте аукциона токенов будут истощены злоумышленником. Злоумышленник может многократно использовать один и тот же ETH для пакетной обработки нескольких вызовов контракта и «делать ставки на аукционе бесплатно».

Samczsun проверил уязвимость с помощью успешного эксплойта, прежде чем связаться с коллегами Георгиосом Константопулосом и Дэном Робинсоном, чтобы они посмотрели и перепроверили результаты. Он также обнаружил, что хакер может украсть средства из контракта, вызвав возврат, отправив более высокую сумму ETH, чем установленный на аукционе жесткий предел.

«Внезапно моя маленькая уязвимость стала намного больше. Я не имел дела с ошибкой, которая позволила бы вам перебивать ставки других участников. Я искал ошибку за 350 миллионов долларов ».

Взлом Poly Network раскрывает недостатки DeFi, но сообщество приходит на помощь

Пришло время обратиться к техническому директору SushiSwap Джозефу Делонгу и сформулировать план спасения до того, как эксплойт будет обнаружен в дикой природе. Было решено, что команда BitDAO, проводящая продажу токенов, вручную завершит аукцион, купив оставшееся распределение и немедленно завершив процесс и спасая средства.

Компания SushiSwap отметила, что средства не были потеряны при спасении, добавив, что она приостановит использование своего голландского формата аукциона MISO до тех пор, пока смарт-контракт не будет обновлен. Член криптосообщества «DC Investor» прокомментировал:

«Все знают, что у Paradigm есть большие пакеты UNI / Uniswap, но Сэм из их команды только что помог спасти SushiSwap (мнимого конкурента) от критической ошибки. Это этос космоса среди лучших актеров ».

Продажа токенов BitDAO прошла без сучка и задоринки, собрав более 112000 ETH на сумму около 336 миллионов долларов от более чем 9200 участников, согласно твиту из протокола 17 августа.

- Реклама -

Оставьте ответ

Ваш электронный адрес не будет опубликован.