Белые шляпы только что предотвратили потенциальное ограбление Sushiswap на сумму 350 миллионов долларов

Группа людей из Криптo во главе с исследовательским партнером Криптo компании Paradigm Сэм MON, возможно, только что предотвратил потерю более 350 миллионов долларов на платформе сбора средств Miso от SushiSwapэфир, обнаружив и исправив ошибку на платформе менее чем за пять часов.

Sushiswap утверждает, что благодаря коллективным усилиям никакие средства не были потеряны.

По словампочта опубликовано Sushiswap в понедельник, Сэм MON и его коллеги Георгиос Константопулос и Дэниел Робинсон — все из Криптo компании Paradigm из Сан-Франциско — обратились к команде SUSHI , чтобы предупредить их об «уязвимости» на «голландском аукционе». договорна платформе Мисо.

На голландском аукционе инвесторы делают ставки, отражающие максимальную сумму, которую они готовы заплатить. После сбора ставок победителем объявляется самая высокая ставка. После завершения аукциона неуспешные ставки возвращаются их владельцам.

Уязвимость

Команда Sushiswap и MON ПарадигмыВ отдельных сообщениях оба указали, что, по сути, уязвимость была сосредоточена вокруг возможности пакетной обработки нескольких вызововcommitEthи повторно использовать одинзначение сообщения по всем обязательствам, что позволяет злоумышленнику бесплатно участвовать в аукционе.

«Объединение партии сcommitEth(функция на аукционе Miso Dutch Auction) создает двустороннюю проблему, когда пользователь может как внести обязательство, превышающее «значение сообщения«Тем самым сливаем все непроданные токены и дополнительно сливаем собранные по контракту средства в качестве возмещения, если аукцион достиг максимального объема обязательств», — написала команда SushiSwap в посте.

«Ошибка возникла, когда удобная функция для адресов кошельков взаимодействовала с механизмом возврата средств по аукционному контракту», — пояснил Дункан Таунсенд, технический директор Immunefi, платформы вознаграждений за обнаружение ошибок в децентрализованных Финансы (DeFi), которая также была привлечена для решения проблемы.

«Пользователи могут перебить ставку и получить возврат разницы между текущей ставкой и внесенной ими суммой, но возврат может быть повторен, чтобы опустошить аукционный контракт», — добавил Таунсенд.

«Все запланированные в будущем аукционы с использованием специальных голландских аукционных контрактов с обязательствами ETH приостановлены до тех пор, пока не будет повторно развернута обновленная версия», — написала команда SushiSwap.

Вывод: смарт-контракты — это сложно

В заключение своего сообщения в блоге MON отметил, что ONE из важнейших уроков, который следует извлечь из этого Истории , заключается в том, что даже «безопасные компоненты могут объединиться и создать нечто небезопасное».

Смарт-контракты, лежащие в основе DeFi, сложны, объединяя «компонуемые» «блоки Lego» для создания новых контрактов и протоколов. Но способ, которым эти блоки объединяются, может иметь непреднамеренные, катастрофические последствия, даже когда программисты используют изначально безопасные отдельные компоненты.

«Этот инцидент показывает, что даже безопасные компоненты на уровне контракта могут быть смешаны таким образом, что это приведет к небезопасному поведению на уровне контракта. Здесь нет универсального совета вроде «проверка-эффект-взаимодействие», поэтому вам просто нужно знать, какие дополнительные взаимодействия вводят новые компоненты», — сказал MON .

Событие произошло сразу после того, как на прошлой неделе произошел крупнейший на сегодняшний день инцидент с DeFi: кросс-чейн DeFi-сайт POLY Network был атакован, потеряв более 600 миллионов долларов в криптовалютах из-за ошибки.

Однако в случае с уязвимостью Sushiswap многие представители Криптo в социальных сетях похвалили пятичасовые коллективные усилия по спасению, предпринятые под руководством исследовательского подразделения Paradigm.

«Чад аф», — написал пользователь Twitter @KadenZipfel («чад» обычно относится к «альфа-самцу» на общепринятом интернет-сленге).

«Абсолютный король», еще один пользователь Twitter, @BanhbaoCrypto,написал. «Супергерой Defi, который нам всем нужен, но которого мы T заслуживаем!»