白帽黑客通过发现“明显”漏洞可能为 SushiSwap 节省 3.5 亿美元

由于白帽黑客的帮助，SushiSwap 去中心化交易所勉强避免成为最新的 DeFi 黑客受害者。

来自风险投资公司 Paradigm 的安全研究员在 Twitter 上被称为“samczsun”，他设法挽救了 SushiSwap 及其 MISO 平台，使其免于遭受多达 109,000 ETH 的潜在损失。

在 8 月 17 日发表的一篇博客文章中，这位程序员描述了他如何开始在 SushiSwap 的代币启动平台 MISO 上检查 BitDAO 代币销售的智能合约代码。

刚刚完成可能是有史以来最大的白帽救援。 故事时间很快

– samczsun (@samczsun) 2021 年 8 月 17 日

仔细检查后，他发现 MISO 荷兰式拍卖合同中存在一个缺陷，即某些功能缺乏访问控制。

“不过，我真的没想到这是一个漏洞，因为我没想到 Sushi 团队会犯下如此明显的失误。”

经过深入调查，白帽黑客发现了一个漏洞，如果被利用，可能会导致代币拍卖合约中的所有加密资产被恶意行为者耗尽。 攻击者可以一遍又一遍地重复使用相同的 ETH 来批处理对合约的多次调用并“在拍卖中免费出价”。

Samczsun 在联系同事 Georgios Konstantopoulos 和 Dan Robinson 以查看并仔细检查发现之前，已成功利用漏洞测试了该漏洞。 他还发现，黑客可以通过发送比拍卖硬顶更高数量的 ETH 来触发退款，从而从合同中窃取资金。

“突然间，我的小弱点变得更大了。 我不是在处理一个让你出价超过其他参与者的错误。 我在看一个价值 3.5 亿美元的漏洞。”

有关的：Poly Network 黑客暴露了 DeFi 缺陷，但社区前来救援

是时候联系 SushiSwap 的 CTO Joseph Delong 制定救援计划，然后才能在野外发现漏洞利用。 决定持有代币销售的 BitDAO 团队将通过购买剩余的分配并立即完成流程并拯救资金来手动结束拍卖。

SushiSwap 指出，在打捞工作中没有损失任何资金，并补充说它将暂停使用其 MISO 荷兰式拍卖格式，直到可以更新智能合约。 加密社区成员“DC Investor”评论道：

“每个人都知道 Paradigm 有很大的 UNI / Uniswap 包，但他们团队的 Sam 只是帮助 SushiSwap（一个表面上的竞争对手）免于一个严重的错误。 这就是最佳演员之间的空间精神。”

根据该协议于 8 月 17 日发布的一条推文，BitDAO 代币销售顺利进行，从 9,200 多名参与者那里筹集了超过 112,000 个 ETH，价值约 3.36 亿美元。

—-

原文链接：https://cointelegraph.com/news/white-hat-potentially-saves-sushiswap-350m-by-finding-obvious-exploit

原文作者：Cointelegraph By Martin Young

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。