SushiSwap избежала взлома на $365 млн благодаря «белому хакеру»

[INC.]

Платформа для продажи токенов MISO децентрализованной биржи SushiSwap имела уязвимость, которая могла быть использована для кражи ETH на $365 млн, но исследователи обнаружили ее раньше хакеров.

Спустя неделю после того, как Poly Network подверглась атаке на $600 млн, еще один крупный проект DeFi едва не постигла та же участь. Речь идет о децентрализованной бирже (DEX) SushiSwap, которой удалось избежать потери ETH на $365 млн благодаря «белому хакеру».

Согласно статье в блоге венчурной компании Paradigm, партнер фирмы по исследованиям samczsun начал изучать код смарт-контракта для продажи токенов BitDAO на платформе MISO SushiSwap – «стартовой площадке» для новых токенов. Размещение токенов прошло без проблем и собрало $365 млн.

Однако исследователь samczsun сообщил, что обнаружил потенциальные проблемы со смарт-контрактом. Дальнейшие эксперименты выявили уязвимость, которая могла привести к краже всех ETH из контракта.

«Маленькая уязвимость оказалась гораздо крупнее. Я не просто столкнулся с ошибкой, которая позволила бы перебивать ставки других участников. Это была уязвимость на $365 млн», – написал samczsun.

Он рассказал об уязвимости коллегам по Paradigm Георгиосу Константопулосу (Georgios Konstantopoulos) и Дэну Робинсону (Dan Robinson), чтобы перепроверить свою гипотезу. Они быстро связались с командой SushiSwap, чтобы обсудить возможные решения.

После обсуждения между Paradigm, SushiSwap и представителями платформы по выявлению ошибок Immunefi, они пришли к решению: проводящая продажу токенов команда BitDAO вручную завершит аукцион, чтобы нейтрализовать потенциальную угрозу.

Команда SushiSwap поделилась дополнительной информацией об обнаруженной уязвимости и отметила, что деньги не были потеряны. Децентрализованная биржа приостановит работу аукциона MISO до тех пор, пока смарт-контракт не будет обновлен.

 

[KAJIT]

«Маленькая уязвимость оказалась гораздо крупнее. Я не просто столкнулся с ошибкой, которая позволила бы перебивать ставки других участников. Это была уязвимость на $365 млн», – написал samczsun.

Никогда не понять мне таких. Отдать 365кк за так. Да-с

 

[MAS0N]

Никогда не понять мне таких. Отдать 365кк за так. Да-с

видимо добрый человек, который в деньгах не нуждается

 

[Dilock]

Платформа для продажи токенов MISO децентрализованной биржи SushiSwap имела уязвимость, которая могла быть использована для кражи ETH на $365 млн, но исследователи обнаружили ее раньше хакеров.

Спустя неделю после того, как Poly Network подверглась атаке на $600 млн, еще один крупный проект DeFi едва не постигла та же участь. Речь идет о децентрализованной бирже (DEX) SushiSwap, которой удалось избежать потери ETH на $365 млн благодаря «белому хакеру».

Согласно статье в блоге венчурной компании Paradigm, партнер фирмы по исследованиям samczsun начал изучать код смарт-контракта для продажи токенов BitDAO на платформе MISO SushiSwap – «стартовой площадке» для новых токенов. Размещение токенов прошло без проблем и собрало $365 млн.

Однако исследователь samczsun сообщил, что обнаружил потенциальные проблемы со смарт-контрактом. Дальнейшие эксперименты выявили уязвимость, которая могла привести к краже всех ETH из контракта.

«Маленькая уязвимость оказалась гораздо крупнее. Я не просто столкнулся с ошибкой, которая позволила бы перебивать ставки других участников. Это была уязвимость на $365 млн», – написал samczsun.

Он рассказал об уязвимости коллегам по Paradigm Георгиосу Константопулосу (Georgios Konstantopoulos) и Дэну Робинсону (Dan Robinson), чтобы перепроверить свою гипотезу. Они быстро связались с командой SushiSwap, чтобы обсудить возможные решения.

После обсуждения между Paradigm, SushiSwap и представителями платформы по выявлению ошибок Immunefi, они пришли к решению: проводящая продажу токенов команда BitDAO вручную завершит аукцион, чтобы нейтрализовать потенциальную угрозу.

Команда SushiSwap поделилась дополнительной информацией об обнаруженной уязвимости и отметила, что деньги не были потеряны. Децентрализованная биржа приостановит работу аукциона MISO до тех пор, пока смарт-контракт не будет обновлен.

Добрый человек)

 

[KAJIT]

который в деньгах не нуждается

В деньгах нуждаются все, ктото этого просто не признает и терпит .Деньги не цель, а инструмент. Отказаться от всего за спасибо. Нет-спасибо.

 

[c0der]

Пока живут на свете дураки...

 

[Ex Coder]

a very kind heart that do not need money i guess

 

[INC.]

Разработчики SushiSwap выплатили $1 млн белому хакеру за спасение $350 млн​

Технический директор SushiSwap Джозеф Делонг раскрыл информацию по выплате вознаграждения «белому» хакеру под ником samczsun, известного по своей работе в венчурной компании Paradigm. Ему удалось предотвратить кражу 1,09 млн ETH из пула BitDAO, составляющую примерно $350 млн на тот момент.

Эти средства собирались в ходе IDO, так называется токенсейл, проводимый на децентрализованной бирже, в роли которой выступила площадка SushiSwap.

Смарт-контракт BitDAO прошел проверку аудиторов, поэтому инвесторы без опаски доверили свои средства, выкупая токены по методу голландского аукциона. Суть его торгов состоит в первоначальном установлении максимальной цены и последующем снижении на каждом шаге торгов.

Несмотря на аудит отдельных отрезков кодов смарт-контракта BitDAO, совместная работа всех составляющих и привела к багу. Проблемы начались в контракте MISO, управляющем голландским аукционом. Он отправлял ETH, полученные за токены BitDAO, в хранилище на SushiSwap. В свою очередь, пул возвращал обратно инвестору ETH, которые превышали максимальную цену, установленную по правилам голландского аукциона.

Хакер samczsun убедился, что баг позволял получить токен BitDAO и отправленный ETH. Злоумышленники уже готовились взять флэш-кредит, с помощью которого опустошить пул. Связи исследователя венчурной компании Paradigm позволили samczsun выйти на Джозефа Делонга, который в свою очередь убедил BitDAO срочно завершить IDO.

 

[KAJIT]

О как, тип-то оказывается прост, обосрался) не смог реализовать коверт бабок, мда еще и спалился =(
зы - не ходите дети в африку гулять, там можно зубки потерять)))

 

[frog2]

О как, тип-то оказывается прост, обосрался) не смог реализовать коверт бабок, мда еще и спалился =(
зы - не ходите дети в африку гулять, там можно зубки потерять)))

Чушь несешь. Как ты говоришь этот "тип" работает в The Block аналитиком, имеет свой блог, огромную репутацию, спас не один протокол от финансового краха. Совет на будущее быть более скромнее, а то так действительно можно обосраться.

 

[KAJIT]

Как ты говоришь этот "тип" работает в The Block аналитиком

А да? Ну ок...
зы - видали мы этих анналитиков, с репутацией, маски при приемке им руки ломают, так же как и челам без репы.
как ты выразился - спасатели протоколов, частенько не те ( или не только те ) кем кажутся.

Совет на будущее быть более скромнее

Ты прав. Учту.

 

[frog2]

А да? Ну ок...
зы - видали мы этих анналитиков, с репутацией, маски при приемке им руки ломают, так же как и челам без репы.
как ты выразился - спасатели протоколов, частенько не те ( или не только те ) кем кажутся.

Давай посмотрим разницу, другие могут себе позволить вот так отдать $300кк благодаря своим навыкам, другие, если и обворуют/вымогают на 5к в лучшем случае при этом не умеют ни черта. Смекаешь?

 

[denis2363]

А где нибудь вообще можно почитать как эти биржи взламывают вообще? Может какие нибудь расследования выходили, просто огромное количество утечек в последнее время.

 

[Stripes]

А где нибудь вообще можно почитать как эти биржи взламывают вообще? Может какие нибудь расследования выходили, просто огромное количество утечек в последнее время.

Тут на форуме статейку видел про взлом на 600кк$ недавний, там чел рассказывал что да как, поищи здесь