Pinipigilan lang ni White Hat ang Potensyal na $350M Heist sa Sushiswap

Isang grupo ng mga tao sa komunidad ng Crypto , na pinamumunuan ng kasosyo sa pagsasaliksik ng Crypto investment firm na Paradigm Sam SAT, maaaring napigilan lang ang platform ng pangangalap ng pondo ng SushiSwap na Miso mula sa pagkawala ng higit sa $350 milyon na halaga ng eter, pagkatapos matuklasan at ayusin ang isang bug sa platform sa loob lamang ng limang oras.

Dahil sa sama-samang pagsisikap, sinabi ng Sushiswap na walang nawalang pondo.

Ayon kay a post na inilathala ng Sushiswap noong Lunes, si Sam SAT, at ang kanyang mga kasamahan na sina Georgios Konstantopoulos at Daniel Robinson – lahat mula sa Crypto investment firm na Paradigm na nakabase sa San Francisco – ay nakipag-ugnayan sa team sa SUSHI para alertuhan sila sa “kahinaan” sa “Dutch auction” kontrata sa platform ng Miso.

Sa isang Dutch auction, ang mga mamumuhunan ay naglalagay ng mga bid na nagpapakita ng maximum na halaga na handa nilang bayaran. Kapag ang mga bid ay nakolekta, ang pinakamataas na bid ay idineklara ang panalo. Pagkatapos ma-finalize ang auction, ibabalik ang mga hindi matagumpay na bid sa mga may-ari nito.

Ang kahinaan

Ang koponan ng Sushiswap at SAT ng Paradigm, sa magkahiwalay na mga post, parehong natukoy na, mahalagang, ang kahinaan ay nakasentro sa kakayahang mag-batch ng maraming tawag sa commitEth at muling gumamit ng isa msg.value sa bawat pangako, na nagpapahintulot sa isang umaatake na mag-bid sa auction nang libre.

“Pagsasama-sama ng batch sa commitEth (isang function sa Miso Dutch Auction) ay lumilikha ng dalawang-pronged na isyu kung saan ang isang user ay maaaring maglagay ng isang pangako na mas mataas kaysa sa 'msg.value' sa gayo'y nauubos ang anumang hindi nabentang mga token at dagdag na naubos ang mga nalikom na pondo sa kontrata bilang mga refund kung ang auction ay umabot sa pinakamataas na pangako, "sinulat ng koponan ng SushiSwap sa post.

"Nalikha ang bug kapag nakipag-ugnayan ang isang convenience function para sa mga address ng wallet sa mekanismo ng refund ng kontrata sa auction," paliwanag ni Duncan Townsend, CTO sa Immunefi, isang bug bounty platform para sa decentralized Finance (DeFi) na na-recruit din para tumulong sa paglutas ng isyu.

"Maaaring mag-over-bid ang mga user at makakuha ng refund ng pagkakaiba sa pagitan ng kasalukuyang bid at ng halagang isinumite nila, ngunit maaaring ulitin ang refund upang maubos ang kontrata sa auction," dagdag ni Townsend.

"Na-pause ang lahat ng nakaplanong auction sa hinaharap na gumagamit ng mga partikular na kontrata sa auction ng Dutch na may mga pangako sa ETH hanggang sa muling ma-deploy ang isang na-update na bersyon," isinulat ng koponan ng SushiSwap.

Ang takeaway: Mahirap ang mga smart contract

Sa pagtatapos ng kanyang post sa blog, sinasalamin SAT na ang ONE sa pinakamahalagang aral na matututunan mula sa Discovery na ito ay kahit na "ang mga ligtas na bahagi ay maaaring magsama-sama upang gumawa ng isang bagay na hindi ligtas."

Ang mga matalinong kontrata na sumasailalim sa DeFi ay masalimuot, na pinagsasama ang "composable" na "Lego blocks" upang lumikha ng mga bagong kontrata at protocol. Ngunit ang paraan kung saan ang mga bloke ay pinagsama ay maaaring magkaroon ng hindi sinasadya, mapaminsalang kahihinatnan, kahit na ang mga programmer ay gumagamit ng likas na ligtas na mga indibidwal na bahagi.

"Ang insidenteng ito ay nagpapakita na kahit na ang ligtas na mga bahagi sa antas ng kontrata ay maaaring ihalo sa isang paraan na nagbubunga ng hindi ligtas na pag-uugali sa antas ng kontrata. Walang catch-all na payo na ilalapat dito tulad ng 'check-effect-interaction,' kaya kailangan mo lang malaman kung ano ang mga karagdagang pakikipag-ugnayan na ipinapakilala ng mga bagong bahagi," sabi SAT

Naganap ang kaganapan pagkatapos lamang naganap ang pinakamalaking pagsasamantala sa DeFi hanggang sa kasalukuyan noong nakaraang linggo: Cross-chain DeFi site POLY Network ay inatake, nawalan ng higit sa $600 milyon na halaga ng mga cryptocurrencies, dahil sa isang bug.

Sa kaso ng kahinaan ng Sushiswap , gayunpaman, marami sa komunidad ng Crypto ang nagpunta sa social media upang purihin ang limang oras na sama-samang pagsisikap sa pagsagip na pinamumunuan ng research arm sa Paradigm.

"Chad af," isinulat ng user ng Twitter na si @KadenZipfel (ang "chad" ay karaniwang tumutukoy sa isang "alpha male" sa karaniwang parlance ng internet slang).

"Absolute King," isa pang gumagamit ng Twitter, @BanhbaoCrypto, nagsulat. “Ang Defi super hero na kailangan nating lahat ngunit T nararapat!”