Los White Hats acaban de desactivar un posible robo de 350 millones de dólares en Sushiswap

Un grupo de personas de la comunidad Cripto , liderado por el socio de investigación de la firma de inversión en Cripto Paradigm Sam MON, puede haber evitado que la plataforma de recaudación de fondos de tokens de SushiSwap, Miso, perdiera más de 350 millones de dólares enéter, después de descubrir y solucionar un error en la plataforma en menos de cinco horas.

Gracias a los esfuerzos colectivos, Sushiswap afirma que no se han perdido fondos.

Según uncorreo Publicado por Sushiswap el lunes, Sam MON y sus colegas Georgios Konstantopoulos y Daniel Robinson, todos de la firma de inversión en Cripto Paradigm con sede en San Francisco, se comunicaron con el equipo de SUSHI para alertarlos sobre "una vulnerabilidad" en la "subasta holandesa". contratoen la plataforma Miso.

En una subasta holandesa, los inversores presentan ofertas que reflejan el importe máximo que están dispuestos a pagar. Una vez recibidas las ofertas, la más alta se declara ganadora. Una vez finalizada la subasta, las ofertas fallidas se devuelven a sus propietarios.

La vulnerabilidad

El equipo de Sushiswap y El MON del paradigmaEn publicaciones separadas, ambos identificaron que, esencialmente, la vulnerabilidad se centraba en la capacidad de agrupar múltiples llamadas acommitEthy reutilizar uno solovalor del mensajeen todos los compromisos, lo que permite que un atacante pueda ofertar en la subasta de forma gratuita.

“Combinando lotes concommitEth(una función de Miso Dutch Auction) crea un problema doble en el que un usuario puede asumir un compromiso mayor a 'valor del mensaje"drenando así los tokens no vendidos y, además, drenando los fondos recaudados en el contrato como reembolsos si la subasta ha alcanzado el compromiso máximo", escribió el equipo de SushiSwap en la publicación.

"El error se creó cuando una función de conveniencia para las direcciones de billetera interactuó con el mecanismo de reembolso del contrato de subasta", explicó Duncan Townsend, director de tecnología de Immunefi, una plataforma de recompensas por errores para Finanzas descentralizadas (DeFi) que también fue contratada para ayudar a resolver el problema.

"Los usuarios podrían pujar más de lo debido y obtener un reembolso de la diferencia entre la oferta actual y el monto presentado, pero el reembolso podría repetirse para agotar el contrato de subasta", agregó Townsend.

“Todas las subastas futuras planificadas que utilizan los contratos de subasta holandeses específicos con compromisos de ETH se han pausado hasta que se vuelva a implementar una versión actualizada”, escribió el equipo de SushiSwap.

La conclusión: los contratos inteligentes son difíciles

Al concluir su entrada del blog, MON reflexionó que una de las lecciones más importantes que se pueden aprender de este Explora es que incluso "los componentes seguros pueden unirse para crear algo inseguro".

Los contratos inteligentes que sustentan las DeFi son complejos y combinan bloques de Lego "componibles" para crear nuevos contratos y protocolos. Sin embargo, la forma en que se combinan estos bloques puede tener consecuencias desastrosas e involuntarias, incluso cuando los programadores utilizan componentes individuales inherentemente seguros.

Este incidente demuestra que incluso los componentes seguros a nivel de contrato pueden combinarse de forma que generen un comportamiento inseguro. No existe una regla general como 'verificación-efecto-interacción', así que basta con estar atento a las interacciones adicionales que introducen los nuevos componentes, afirmó MON

El evento tuvo lugar justo después de que la semana pasada se produjera el mayor exploit de DeFi hasta la fecha: el sitio DeFi de cadena cruzada POLY Network fue atacado, perdiendo más de 600 millones de dólares en criptomonedas debido a un error.

Sin embargo, en el caso de la vulnerabilidad de Sushiswap , muchos en la comunidad Cripto recurrieron a las redes sociales para elogiar los esfuerzos de rescate colectivo de cinco horas liderados por el brazo de investigación de Paradigm.

"Chad af", escribió el usuario de Twitter @KadenZipfel (un "chad" generalmente se refiere a un "macho alfa" en el lenguaje común de Internet).

“Rey absoluto”, otro usuario de Twitter, @BanhbaoCrypto,escribió“¡El superhéroe DeFi que todos necesitamos pero no merecemos!”