SushiSwap MISO平台遭攻击,被盗逾300万美元的ETH

星球日报 view 6674 2021-9-24 15:58
share to
Scan QR code with WeChat

据报道,SushiSwap 的 Launchpad 平台 MISO 遭到攻击,黑客窃取了 864.8 枚 ETH,以当前价格计算价值超 300 万美元。

SushisSwap 是全球最大的去中心化交易所(DEX)之一,也是 Uniswap 的竞争对手。CoinCecko 数据显示,截至发稿时,SushisSwap 在过去 24 小时内的交易额超过 4.95 亿美元。

正如该项目官网所述,MISO 是“一套开源智能合约,旨在简化在 SushisSwap 交易所上线新项目的过程。”

据 SushiSwap 的首席技术官 Joseph Delong 称,MISO 遭到了所谓的供应链攻击。一名匿名承包商在 GitHub 的 Handler AristoK3 下向 MISO 平台前端注入了恶意代码,并用自己的钱包地址替换了拍卖的钱包地址。

注:根据百度百科介绍,供应链攻击是一种面向软件开发人员和供应商的新兴威胁。目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。

SushiSwap MISO平台遭攻击,被盗逾300万美元的ETH

此次受影响的是以汽车为主题的 NFT 项目 Jay Pegs Auto Mart 的 DONA 代币。目前该漏洞已经修复。

根据以太坊区块链浏览器 Etherscan 的数据,攻击发生在美国东部时间周四下午 12:04(即北京时间 9 月 17 日 0:04),该公司已将 Delong 披露的黑客地址确定为涉及 MISO 攻击的地址。

这其实不是 MISO 第一次遇到类似的问题,但上一次是因为有“贵人相助”才得以幸免。

8 月 18 日,区块链投资机构 Paradigm 研究合伙人、白帽黑客 samczsun 撰文披露 BitDAO 此前在 SushiSwap MISO 平台进行荷兰式拍卖的智能合约存在安全漏洞,多名白帽黑客联手从众筹资金池中拯救回 10.9 万枚ETH(约合 3.5 亿美元)的经过。SushiSwap 首席技术官 Joseph Delong 随后发布漏洞分析,证实 samczsun 所报告的漏洞及白帽拯救行动,MISO 平台上 ETH 众筹池中价值 3.5 亿美元的 ETH 现已安全。

samczsun 称,这可能是最大的白帽拯救行动。此次白帽拯救行动导致 BitDAO 在 MISO 平台进行的荷兰拍中的 ETH 资金池提前结束,参与者可以提前领取 BIT 代币并在 SushiSwap 上进行交易。Paradigm 研究团队成员、Immunefi 团队成员和 SushiSwap 开发团队参与了本次行动。十天后,Delong 发推称,SushiSwap 向 samczsun 支付了 100 万 USDC 作为漏洞赏金。

当时的拍卖顺利结束,在此过程中筹集了 3.65 亿美元。值得一提的是,MISO 要求 BitDAO 团队手动结束代币拍卖,以消除潜在威胁。

黑客身份是否锁定?

SushiSwap 声称有理由相信该名黑客是 Twitter 用户@eratos1122,他“曾与 Yearn.Finance 合作并接触过许多其他项目。”

SushiSwap MISO平台遭攻击,被盗逾300万美元的ETH

然而,Delong 链接到的 Twitter 个人资料显示了不同的 GitHub Handler,而不是 SushiSwap 声称的 AristoK3。

Delong 补充说,SushiSwap 寻求加密货币交易所 FTX 和币安共享攻击者的 KYC 信息,“但他们在这一时效性问题上予以抗拒。”

“我建议您测试自己的用户界面,以便尽早发现漏洞。”Delong 说。

他还表示,如果被盗资金在美国东部时间周五上午 8 点(北京时间 9 月 17 日 20 点)之前仍未归还,他将指示该公司的律师 Stephen Palley 向联邦调查局报案。

更新:

今日晚间 9 时许,SushiSwap Launchpad 平台 MISO 攻击者陆续归还全部盗取资产,共 865 ETH(比最初被盗金额高出一些),还有人向攻击者发送了一枚 DONA 代币。

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: Mechanism Capital在Layer2领域的布局 Next: 富兰克林邓普顿「谨慎」布局加密业务,申请推出2000万美元的区块链风险基金

Related