Білі капелюхи щойно знешкодили потенційну крадіжку на 350 мільйонів доларів на Sushiswap

Група людей у ​​Крипто спільноті, очолювана партнером дослідницької компанії Paradigm у сфері Крипто Сем WED, можливо, щойно завадив платформі SushiSwap для збору коштів Miso втратити понад 350 мільйонів доларів США ефіру, виявивши та виправивши помилку на платформі всього за п’ять годин.

Завдяки спільним зусиллям Sushiswap каже, що жодних коштів не було втрачено.

За словами а пост опублікований Sushiswap у понеділок, Сем WED і його колеги Георгіос Константопулос і Деніел Робінсон – усі з Крипто компанії Paradigm із Сан-Франциско – звернулися до команди SUSHI , щоб попередити їх про «вразливість» на «голландському аукціоні». договір на платформі Miso.

На голландському аукціоні інвестори розміщують ставки відповідно до максимальної суми, яку вони готові заплатити. Після збору ставок переможцем оголошується найвища ставка. Після завершення аукціону невдалі пропозиції повертаються власникам.

Вразливість

Команда Sushiswap і WED Парадигми, в окремих дописах обидва визначили, що, по суті, вразливість була зосереджена навколо можливості групувати кілька викликів до commitEth і повторно використовувати один msg.value через кожне зобов’язання, дозволяючи зловмиснику робити ставки на аукціоні безкоштовно.

«Об'єднання партії з commitEth (функція на голландському аукціоні Miso) створює подвійну проблему, коли користувач може обидва поставити зобов’язання вище, ніж «msg.value’ таким чином витрачаючи будь-які непродані токени та додатково витрачаючи зібрані кошти за контрактом як відшкодування, якщо аукціон досяг максимального зобов’язання», – написала команда SushiSwap у дописі.

«Помилка виникла, коли функція зручності для адрес гаманців взаємодіяла з механізмом відшкодування аукціонного контракту», — пояснив Дункан Таунсенд, технічний директор Immunefi, платформи винагород за помилки для децентралізованих Фінанси (DeFi), яка також була залучена для вирішення проблеми.

«Користувачі можуть завищити ставку та отримати відшкодування різниці між поточною ставкою та поданою сумою, але відшкодування може бути повторене, щоб розірвати договір аукціону», — додав Таунсенд.

«Усі майбутні заплановані аукціони з використанням конкретних голландських аукціонних контрактів із зобов’язаннями щодо ETH були призупинені, доки не буде повторно розгорнуто оновлену версію», — написала команда SushiSwap.

Висновок: розумні контракти складні

Наприкінці свого повідомлення в блозі WED зазначив, що ONE із найважливіших уроків, які можна винести з цього Цікаве , є те, що навіть «безпечні компоненти можуть об’єднатися, щоб зробити щось небезпечне».

Смарт-контракти, які лежать в основі DeFi, є складними, поєднуючи «складні» «блоки Lego» для створення нових контрактів і протоколів. Але спосіб об’єднання цих блоків може мати ненавмисні та катастрофічні наслідки, навіть якщо програмісти використовують безпечні за своєю суттю окремі компоненти.

«Цей інцидент показує, що навіть безпечні компоненти на рівні контракту можуть бути змішані таким чином, що призведе до небезпечної поведінки на рівні контракту. Тут немає універсальних порад, як «перевірка-ефект-взаємодія», тому вам просто потрібно знати, які додаткові взаємодії запроваджують нові компоненти», — сказав WED .

Подія відбулася одразу після найбільшого експлойту DeFi на сьогоднішній день, який стався минулого тижня: міжланцюговий сайт DeFi POLY Network піддався нападу, втративши криптовалюти на суму понад 600 мільйонів доларів через помилку.

Однак у випадку з уразливістю Sushiswap багато хто з Крипто звернулися до соціальних мереж, щоб похвалити п’ятигодинну колективну рятувальну роботу під керівництвом дослідницького підрозділу Paradigm.

«Чад аф», — написав користувач Twitter @KadenZipfel («чад» зазвичай відноситься до «альфа-самця» на поширеній мові інтернет-сленгу).

«Абсолютний король», інший користувач Twitter, @BanhbaoCrypto, написав. «Супергерой Defi, якого ми всі потребуємо, але T заслуговуємо!»