White Hats acaba de neutralizar um possível assalto de US$ 350 milhões no Sushiswap

Um grupo de pessoas na comunidade Cripto , liderado pelo parceiro de pesquisa da empresa de investimento Cripto Paradigm Sol WED, pode ter evitado que a plataforma de arrecadação de fundos de tokens da SushiSwap, Miso, perdesse mais de US$ 350 milhões eméter, após descobrir e corrigir um bug na plataforma em menos de cinco horas.

Devido aos esforços coletivos, a Sushiswap diz que nenhum fundo foi perdido.

De acordo com umpublicar publicado pelo Sushiswap na segunda-feira, Sam WED e seus colegas Georgios Konstantopoulos e Daniel Robinson – todos da empresa de investimento em Cripto Paradigm, sediada em São Francisco – entraram em contato com a equipe do SUSHI para alertá-los sobre “uma vulnerabilidade” no “leilão holandês” contratona plataforma Miso.

Em um leilão holandês, os investidores dão lances refletindo o valor máximo que estão dispostos a pagar. Uma vez que os lances são coletados, o lance mais alto é declarado o vencedor. Após o leilão ser finalizado, os lances malsucedidos são devolvidos aos seus proprietários.

A vulnerabilidade

A equipe do Sushiswap e WED do Paradigma, em postagens separadas, ambos identificaram que, essencialmente, a vulnerabilidade estava centrada na capacidade de agrupar várias chamadas paracomprometerEthe reutilizar um únicomsg.valorem todos os compromissos, permitindo que um invasor faça lances no leilão gratuitamente.

“Combinando lote comcomprometerEth(uma função no leilão holandês Miso) cria um problema duplo em que um usuário pode assumir um compromisso maior do que ‘msg.valor"drenando assim quaisquer tokens não vendidos e adicionalmente drenando os fundos arrecadados no contrato como reembolsos se o leilão tiver atingido o compromisso máximo", escreveu a equipe do SushiSwap no post.

"O bug foi criado quando uma função de conveniência para endereços de carteira interagiu com o mecanismo de reembolso do contrato de leilão", explicou Duncan Townsend, CTO da Immunefi, uma plataforma de recompensa por bugs para Finanças descentralizadas (DeFi) que também foi recrutada para ajudar a resolver o problema.

"Os usuários poderiam dar lances maiores e obter um reembolso da diferença entre o lance atual e o valor enviado, mas o reembolso poderia ser repetido para anular o contrato do leilão", acrescentou Townsend.

“Todos os futuros leilões planejados utilizando os contratos de leilão holandeses específicos com compromissos de ETH foram pausados ​​até que uma versão atualizada seja reimplantada”, escreveu a equipe do SushiSwap.

Conclusão: contratos inteligentes são difíceis

Na conclusão de sua postagem no blog, WED refletiu que uma das lições mais importantes a serem aprendidas com essa Confira é que até mesmo "componentes seguros podem se unir para criar algo inseguro".

Os contratos inteligentes que sustentam o DeFi são complexos, combinando "blocos Lego" "componíveis" para criar novos contratos e protocolos. Mas a maneira como esses blocos são combinados pode ter consequências inadvertidas e desastrosas, mesmo quando os programadores estão usando componentes individuais inerentemente seguros.

"Este incidente mostra que mesmo componentes seguros em nível de contrato podem ser misturados de uma forma que produz comportamento inseguro em nível de contrato. Não há um conselho geral para aplicar aqui como 'verificar-efeito-interação', então você só precisa estar ciente de quais interações adicionais os novos componentes estão introduzindo", disse WED

O evento ocorreu logo após a maior exploração de DeFi até o momento ter ocorrido na semana passada: site DeFi de cadeia cruzada POLY Network foi atacado, perdendo mais de US$ 600 milhões em criptomoedas devido a um bug.

No caso da vulnerabilidade do Sushiswap , no entanto, muitos na comunidade de Cripto recorreram às redes sociais para elogiar os esforços coletivos de resgate de cinco horas liderados pelo braço de pesquisa da Paradigm.

"Chad pra caramba", escreveu o usuário do Twitter @KadenZipfel (um "chad" geralmente se refere a um "macho alfa" na gíria comum da internet).

“Rei Absoluto”, outro usuário do Twitter, @BanhbaoCrypto,escreveu. “O super-herói Defi que todos nós precisamos, mas T merecemos!”