Белая шляпа потенциально экономит SushiSwap $ 350 млн, обнаружив `очевидный` эксплойт

Децентрализованная биржа SushiSwap едва избежала стать последней жертвой взлома DeFi благодаря помощи хакера в белой шляпе.

Исследователю безопасности из венчурной компании Paradigm, известной в Твиттере как samczsun, удалось спасти SushiSwap и его платформу MISO от потенциальной потери до 109 000 ETH.

В сообщении в блоге, опубликованном 17 августа, программист описал, как он начал изучать код смарт-контракта для продажи токенов BitDAO на платформе запуска токенов SushiSwap, MISO.

Только что осуществил, возможно, самое большое спасение для белых шляп. Время истории скоро

- samczsun (@samczsun) 17 августа 2021 г.

При более внимательном рассмотрении он обнаружил изъян в контракте с голландским аукционом MISO, из-за которого в некоторых функциях отсутствовал контроль доступа.

«Я действительно не ожидал, что это будет уязвимость, так как я не ожидал, что команда Sushi сделает такую ​​очевидную ошибку».

После более глубокого расследования «белая шляпа» обнаружила уязвимость, которая в случае эксплуатации может привести к тому, что все криптоактивы в контракте аукциона токенов будут истощены злоумышленником. Злоумышленник может многократно использовать один и тот же ETH для групповых вызовов контракта и «делать ставки на аукционе бесплатно».

Samczsun проверил уязвимость с помощью успешного эксплойта, прежде чем связаться с коллегами Георгиосом Константопулосом и Дэном Робинсоном, чтобы они посмотрели и перепроверили результаты. Он также обнаружил, что хакер может украсть средства из контракта, вызвав возврат, отправив более высокую сумму ETH, чем установленный на аукционе жесткий предел.

«Внезапно моя небольшая уязвимость стала намного больше. Я не имел дело с ошибкой, которая позволила бы вам перебивать ставки других участников. Я искал ошибку на 350 миллионов долларов».

Пришло время обратиться к техническому директору SushiSwap Джозефу Делонгу и сформулировать план спасения до того, как эксплойт будет обнаружен в дикой природе. Было решено, что команда BitDAO, проводящая продажу токенов, вручную завершит аукцион, купив оставшееся распределение и немедленно завершив процесс и спасая средства.

Компания SushiSwap отметила, что никакие средства не были потеряны при спасении, добавив, что она приостановит использование своего голландского формата аукциона MISO до тех пор, пока смарт-контракт не будет обновлен. Член криптосообщества «DC Investor» прокомментировал:

«Все знают, что у Paradigm большие пакеты UNI / Uniswap, но Сэм из их команды только что помог спасти SushiSwap (мнимого конкурента) от критической ошибки. Это идеал космоса среди лучших актеров».

Продажа токенов BitDAO прошла без сучка и задоринки, собрав более 112000 ETH на сумму около 336 миллионов долларов от более чем 9200 участников, согласно твиту из протокола 17 августа.