Платформа запуска токенов SushiSwap MISO вчера подверглась атаке на цепочку поставок, в результате которой было потрачено 864,8 ETH из контракта на аукцион токенов Jay Pegs Auto Mart.
Впервые эксплойт был обнаружен техническим директором Sushi Джозефом Делонгом 17 сентября, который опубликовал в Твиттере ссылку на транзакцию, в результате которой средства из протокола были истощены.
Напряженный день для суши и MISO хорошо заканчивается для держателей токенов
По словам Делонга, анонимному подрядчику удалось внедрить вредоносный код в интерфейс MISO, заменив исходный контракт на аукцион токенов Auto Mart Jay pegs личным адресом Ethereum. На этот адрес было переведено 864,8 ETH, но никакие другие аукционы не были затронуты эксплойтом.
В серии твитов, которые были удалены с тех пор, Делонг сказал, что у Sushi были «причины полагать», что злоумышленником был eratos1122, разработчик под псевдонимом, который работал с Sushi и другими проектами DeFi, такими как Yearn.Finance. Он поделился документом, показывающим след транзакций, связанных с исходным адресом хакера, некоторые из которых были профинансированы Binance и FTX.
Рядом с документом был размещен ультиматум, в котором хакеру грозил судебный иск, если средства не будут своевременно возвращены.
Буквально через пару часов хакер вернул 865 ETH к исходному контракту MISO. Данные Etherscan показали, что адрес хакера был почти полностью пуст, причем сам Делонг подтвердил эту новость в Twitter.
Все средства возвращены 🙌
- Джозеф 🤝 Делонг 🔱 (@josephdelong) 17 сентября 2021 г.
За часы, прошедшие с момента возврата средств, до сих пор не выяснилось, кто был злоумышленником. Оригинальные твиты Делонга, в которых он обвинял бывшего разработчика MISO, были удалены. Человек, которого он обвинил в краже, пригрозил выпустить часть кода MISO, над которым он работал, если он не получит извинений от Суши и Делонга. И хотя многие усмотрели в этом явный признак его причастности к инциденту, ни Sushi, ни кто-либо из ее основателей не дали дальнейших комментариев по этому поводу.
Привет @josephdelong
Это действительно безумие
Пожалуйста, удалите его и скажите всем "извините"
Если нет, то я поделюсь всем проектом MISO, который у меня есть.
(Вы знаете, что я очень хорошо работал над проектом MISO)- 0x A.K. (@ eratos1122) 17 сентября 2021 г.
Многие члены криптосообщества критиковали Суши и Делонга за то, как они справились с ситуацией. Поскольку протокол в основном создается анонимными разработчиками, указание пальцем и доксинг без надлежащего расследования нанесли удар по репутации Sushi.
ИсточникНесмотря на возвращение средств, инцидент с Мисо был урегулирован плохо imo. Технический директор, выдвигающий обвинения и подшучивающий над шутками, в то время как Sushi в основном создавался анонимными участниками - не лучший вариант. Вы не можете управлять мобом, если его развяжете.
- banteg (@bantg) 17 сентября 2021 г.
