I White Hats hanno appena sventato un potenziale furto da 350 milioni di dollari su Sushiswap

Un gruppo di persone nella comunità Cripto , guidato dal partner di ricerca della società di investimenti in Cripto Paradigm Sam TUE, potrebbe aver appena impedito alla piattaforma di raccolta fondi token di SushiSwap, Miso, di perdere più di 350 milioni di dollarietere, dopo aver scoperto e risolto un bug sulla piattaforma in meno di cinque ore.

Grazie agli sforzi collettivi, Sushiswap afferma che non sono andati persi fondi.

Secondo uninviare pubblicato da Sushiswap lunedì, Sam TUE e i suoi colleghi Georgios Konstantopoulos e Daniel Robinson, tutti della società di investimenti in Cripto Paradigm con sede a San Francisco, hanno contattato il team di SUSHI per avvisarli di "una vulnerabilità" nell'"asta olandese" contrarresulla piattaforma Miso.

In un'asta olandese, gli investitori piazzano offerte che riflettono l'importo massimo che sono disposti a pagare. Una volta raccolte le offerte, l'offerta più alta viene dichiarata vincitrice. Dopo che l'asta è conclusa, le offerte non andate a buon fine vengono restituite ai rispettivi proprietari.

La vulnerabilità

Il team di Sushiswap e Il TUE del paradigma, in post separati, entrambi hanno identificato che, essenzialmente, la vulnerabilità era incentrata sulla capacità di raggruppare più chiamate acommettereEthe riutilizzarne uno singolovalore del messaggioin ogni impegno, consentendo a un aggressore di partecipare all'asta gratuitamente.

"Combinazione di batch concommettereEth(una funzione su Miso Dutch Auction) crea un problema a due punte in cui un utente può sia impegnarsi per un importo superiore a 'valore del messaggio" prosciugando così tutti i token invenduti e prosciugando ulteriormente i fondi raccolti sul contratto come rimborsi se l'asta ha raggiunto l'impegno massimo", ha scritto il team di SushiSwap nel post.

"Il bug è stato creato quando una funzione di convenienza per gli indirizzi dei wallet ha interagito con il meccanismo di rimborso del contratto d'asta", ha spiegato Duncan Townsend, CTO di Immunefi, una piattaforma di bug bounty per la Finanza decentralizzata (DeFi) che è stata anche reclutata per aiutare a risolvere il problema.

"Gli utenti potrebbero fare un'offerta più alta e ottenere un rimborso della differenza tra l'offerta corrente e l'importo inviato, ma il rimborso potrebbe essere ripetuto esaurindo il contratto d'asta", ha aggiunto Townsend.

"Tutte le future aste pianificate che utilizzano gli specifici contratti di asta olandese con impegni ETH sono state sospese fino a quando non verrà ridistribuita una versione aggiornata", ha scritto il team di SushiSwap.

Conclusione: i contratti intelligenti sono difficili

A conclusione del suo post sul blog, TUE ha affermato che ONE delle lezioni più importanti da imparare da questa Da scoprire è che anche "componenti sicuri possono unirsi per creare qualcosa di non sicuro".

Gli smart contract che sostengono la DeFi sono complessi, combinando "blocchi Lego" "componibili" per creare nuovi contratti e protocolli. Ma il modo in cui questi blocchi vengono combinati può avere conseguenze involontarie e disastrose, anche quando i programmatori utilizzano componenti individuali intrinsecamente sicuri.

"Questo incidente dimostra che anche i componenti sicuri a livello di contratto possono essere mescolati in un modo che produce un comportamento non sicuro a livello di contratto. Non c'è un consiglio onnicomprensivo da applicare qui come 'controllo-effetto-interazione', quindi devi solo essere consapevole di quali interazioni aggiuntive stanno introducendo i nuovi componenti", ha affermato TUE

L'evento ha avuto luogo subito dopo il più grande exploit DeFi fino ad oggi avvenuto la scorsa settimana: il sito DeFi cross-chain POLY Network è stato attaccato, perdendo più di 600 milioni di dollari in criptovalute a causa di un bug.

Nel caso della vulnerabilità Sushiswap , tuttavia, molti nella comunità Cripto si sono rivolti ai social media per elogiare gli sforzi collettivi di salvataggio durati cinque ore e condotti dal reparto di ricerca di Paradigm.

"Chad af", ha scritto l'utente Twitter @KadenZipfel (nel linguaggio comune di Internet, "chad" di solito si riferisce a un "maschio alfa").

"Absolute King", un altro utente di Twitter, @BanhbaoCrypto,ha scritto"Il supereroe Defi di cui tutti abbiamo bisogno ma che T meritiamo!"