White hat le ahorra a SushiSwap 350 millones de dólares al encontrar un exploit 'obvio'

El intercambio descentralizado SushiSwap ha evitado por poco convertirse en la última víctima de pirateo de DeFi gracias a la ayuda de un pirata informático de sombrero blanco.

Un investigador de seguridad de la firma de capital de riesgo Paradigm conocida en Twitter como "samczsun" ha logrado salvar a SushiSwap y su plataforma MISO de una pérdida potencial de hasta 109,000 ETH.

En una publicación de blog publicada el 17 de agosto, el programador describió cómo comenzó a examinar el código de contrato inteligente para la venta de tokens de BitDAO en la plataforma de lanzamiento de tokens de SushiSwap, MISO.

Acabo de realizar quizás el mayor rescate de sombrero blanco de todos los tiempos. Hora de cuentos pronto

- samczsun (@samczsun) 17 de agosto de 2021

En una inspección más cercana, encontró una falla en el contrato de subasta holandés de MISO por el cual algunas de las funciones carecían de controles de acceso.

"Sin embargo, realmente no esperaba que esto fuera una vulnerabilidad, ya que no esperaba que el equipo de Sushi cometiera un paso en falso tan obvio".

Tras una investigación más profunda, el sombrero blanco descubrió una vulnerabilidad que, si se explota, podría resultar en que todos los activos criptográficos en el contrato de subasta de tokens sean agotados por un actor malintencionado. Un atacante podría reutilizar el mismo ETH una y otra vez para agrupar varias llamadas al contrato y "pujar en la subasta de forma gratuita".

Samczsun probó la vulnerabilidad con un exploit exitoso antes de contactar a sus colegas Georgios Konstantopoulos y Dan Robinson para echar un vistazo y verificar los hallazgos. También descubrió que un pirata informático podría robar los fondos del contrato activando un reembolso al enviar una cantidad mayor de ETH que el límite máximo de la subasta.

“De repente, mi pequeña vulnerabilidad se hizo mucho más grande. No estaba lidiando con un error que te permitiría superar a otros participantes. Estaba viendo un error de 350 millones de dólares ".

Relacionado:El hack de Poly Network expone fallas de DeFi, pero la comunidad viene al rescate

Entonces llegó el momento de ponerse en contacto con el director de tecnología de SushiSwap, Joseph Delong, para formular un plan de rescate antes de que el exploit fuera descubierto en la naturaleza. Se decidió que el equipo de BitDAO que tenía la venta del token finalizaría manualmente la subasta comprando la asignación restante y finalizando inmediatamente el proceso y rescatando los fondos.

SushiSwap señaló que no se perdieron fondos en el esfuerzo de rescate, y agregó que detendrá el uso de su formato de subasta holandesa MISO hasta que se pueda actualizar el contrato inteligente. Miembro de la comunidad de criptomonedas "DC Investor" comentó:

“Todo el mundo sabe que Paradigm tiene grandes bolsas UNI / Uniswap, pero Sam de su equipo acaba de ayudar a salvar a SushiSwap (un competidor ostensible) de un error crítico. Este es el espíritu del espacio entre los mejores actores ”.

La venta de tokens de BitDAO se llevó a cabo sin problemas, recaudando más de 112,000 ETH, valorados en aproximadamente $ 336 millones, de más de 9,200 participantes según un Tweet del protocolo el 17 de agosto.