White Hacker 阻止了来自 DeFi 项目 SushiSwap 的 3.5 亿美元的潜在盗窃

Paradigm 合伙人、网络安全专家 Sam Sun 谈到了他如何识别并帮助修复 DeFi 项目 SushiSwap 中的漏洞。 该漏洞威胁要损失超过 109,000 ETH（当时约为 3.5 亿美元）。

审计员的日志，8 月 16 日。 我在 SushiSwap 的 MISO 平台中发现了一个严重漏洞 https://t.co/untzdxay7q

— samczsun (@samczsun) 2021 年 8 月 17 日

专家研究了 SushiSwap 平台，用于发行新代币并为 MISO（最小初始 SushiSwap 产品）吸引资金。 它提供两种类型的拍卖 – 批量拍卖和荷兰式拍卖。

专家的注意力被黑客用来攻击 Opyn 的漏洞所吸引。 然后攻击者从 DeFi 项目中提取了大约 371,000 美元的用户资金。

就 MISO 而言，情况变得更加危险。 Sam Sun 发现该漏洞允许拍卖为超过指定限制发送的每个 ETH 获得退款。 这意味着合同不会取消交易，而是简单地退还所有资金。

“突然间，这个小漏洞变得更大了。我没有处理一个让其他参与者出价高于其他参与者的漏洞。我发现了一个价值 3.5 亿美元的漏洞，”研究人员写道。

这些资产在当前荷兰 MISO 拍卖的合同中。

Sam Sun 联系了 SushiSwap 团队和几位外部专家。 该小组提出了三个解决问题的方案：

该小组选择了后一种解决方案。

与此同时，问题变得更加广泛：一场 800 万美元的主动批量拍卖竟然是在 MISO 进行的，而 MISO 也受到了威胁。 他们决定不对它做任何事情，因为没有强制终止的可能性。

“一般来说，保护 3.5 亿美元不落入坏人之手只用了五个小时。即使没有金钱损失，我相信所有参与者都宁愿根本不经历这个过程，”山姆说太阳…

他得出的结论是，即使是 DeFi 协议的安全组件，在集成时也会导致合约级别的漏洞。

提醒一下，在撰写本文时，去中心化金融行业历史上最大的黑客攻击仍然是从 Poly Network 协议窃取价值 6.11 亿美元的资产。

黑客将被盗资金全部归还给该项目，并拒绝给予50万美元的奖励，据他说，他实施此次攻击是“为了好玩”。

—-

原文链接：https://forklog.com/belyj-haker-predotvratil-potentsialnuyu-krazhu-350-mln-iz-defi-proekta-sushiswap/

原文作者：Роман Петров

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。