Изследовател по сигурността спестява на SushiSwap $350 милиона

Изследователят по сигурността откри недостатък в интелигентен договор на холандски търг, който би могъл да доведе до загуба на 109,000 ETH.

Децентрализираната борса SushiSwap едва избегна да се превърне в най-новата жертва на DeFi хак благодарение на помощта от добронамерен хакер.

Изследовател по сигурността от фирмата за рисков капитал Paradigm, известна в Twitter като “samczsun”, успя да спаси SushiSwap и неговата платформа MISO от потенциална загуба от 109,000 ETH.

В блог публикация, споделена на 17-ти август, програмистът описва как е започнал да проучва кода на интелигентния договор за продажбата на токени BitDAO на платформата за стартиране на токени на SushiSwap, MISO.

При по-внимателно проучване той откри недостатък в холандския аукционен договор на MISO, при който на някои функции са им липсвали контрол на достъпа.

“Всъщност не очаквах това да е уязвимо, тъй като не очаквах екипът на Sushi да направи толкова очевидна грешка.”

При по-задълбочено разследване той откри уязвимост, която, ако бъде експлоатирана, може да доведе до източване на всички крипто активи в договора за търг от злонамерен участник.

Нападателят може да използва повторно един и същ ETH отново и отново, за да групира множество обаждания към договора и да “наддава в търга безплатно”.

Samczsun тества уязвимостта с успешна експлоатация, преди да се свърже с колегите си Георгиос Константипулос и Дан Робинсън, за да разгледат случая. Той също така откри, че хакер може да открадне средствата от договора, като задейства възстановяване, като изпрати по-висока сума ETH от ограничението на търга.

“Изведнъж малката ми уязвимост стана много по-голяма. Не се занимавах с грешка, която би ви позволила да имате надмощие над останалите участници. Гледах грешка за $350 милиона.”

Той се обърна към главния технически директор на SushiSwap Джоузеф Делонг, за да формулира спасителен план, преди експлоатацията да бъде открита от злонамерени лица. Беше решено, че екипът на BitDAO, който провеждаше разпродажбата на токени, ще приключи ръчно търга, като закупи останалото разпределение и незабавно финализира процеса и спаси средствата.

SushiSwap отбеляза, че не са загубени средства в усилията за спасяване, като добави, че ще сложи на пауза използването на своя холандски търговски формат MISO, докато интелигентният договор бъде актуализиран. Член на крипто общността “DC Investor” коментира:

Всички знаят, че Paradigm има големи UNI / Uniswap чанти, но Сам от техния екип току-що помогна да спаси SushiSwap (конкурент) от критична грешка. Това е духът на пространството сред най-добрите участници в сферата.

ПРОЧЕТИ ОЩЕ: Започва ли ‘нов етап от мечия цикъл’ на Биткойн?

Продажбата на BitDAO премина без проблеми, като събра над 112,000 ETH, на стойност приблизително $336 милиона, от над 9,200 участници, според туит от протокола, направен на 17-ти август.

Deyan Angelov

Активен крипто трейдър, следи и новини, свързани с акции, S&P500 и злато. Деян обича да спортува активно, тренира редовно, занимава се с калистеника. Обича и да чете Sci-Fi книги, когато му остане време.