白帽黑客提前发现“明显”漏洞,为 SushiSwap 免除 3.5 亿美元损失

白泽研究院 阅读 52 2021-8-18 12:16
分享至
微信扫一扫,打开网页后点击屏幕右上角分享按钮

就在我们热情的在 SushiSwap 内以荷兰拍的形式购买 BitDao 时,来自投资公司 Paradigm 的白帽黑客 Samczsun 报告说,这可能是对 SushiSwap 协议、以太坊生态系统乃至整个互联网的最大拯救之一。

Samczun 在一篇帖子中声称,他发现并帮助修补了一个漏洞,该漏洞威胁来自其 MISO 平台的基于 Sushiswap 的合同,威胁超过 3.5 亿美元或 109,000 ETH。白黑客在发现平台上正在进行新的拍卖后审查了合同。

MISO 使用两种类型的拍卖管道和批次。当 Samczun 正在审查 DutchAuction 合同时,白黑客发现 InitMarket 和 InitAuction 函数缺乏访问控制。这“非常令人担忧”。

不过,我真的没想到这是一个漏洞,因为我没想到 Sushi 团队会犯下如此明显的失误。果然,initAccessControls 函数验证了合约尚未初始化。

Samczun 表示,上述结合使用合约中名为 BoringBatchable 的 mixin 库使其更加可疑。黑客认识到了导致 2020 年另一个平台受到攻击的因素。

经过深入调查,白帽黑客发现了一个漏洞,如果利用该漏洞,可能会导致恶意行为者耗尽代币拍卖合约中的所有加密资产。攻击者可以一遍又一遍地重复使用相同的 ETH 来批量调用合约并“在拍卖中免费出价”。

“突然之间,我的小弱点变得更大了。我不是在处理一个让你出价超过其他参与者的错误。我正在研究一个价值 3.5 亿美元的漏洞。”

随后他们联系 SushiSwap 的 CTO Joseph Delong 制定救援计划。决定代币销售的 BitDAO 团队将通过购买剩余的分配,提前结束拍卖,以拯救资金。

SushiSwap 指出,在拍卖过程中没有损失任何资金,并补充说,将暂停使用其 MISO 荷兰式拍卖模式,直到可以更新智能合约。

btcfans公众号

微信扫描关注公众号,及时掌握新动向

来源链接
免责声明:
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
标签: 黑客 SushiSwap
上一篇:Coinbase 与三菱集团合作在日本开展业务 下一篇:区块链+军事:美国陆军利用区块链技术进行战术级数据管理

相关资讯