Les White Hats viennent de déjouer un braquage potentiel de 350 millions de dollars sur Sushiswap

Un groupe de personnes de la communauté Crypto , dirigé par le partenaire de recherche de la société d'investissement Crypto Paradigm Sam THU, vient peut-être d'empêcher la plateforme de collecte de fonds en jetons de SushiSwap, Miso, de perdre plus de 350 millions de dollarséther, après avoir découvert et corrigé un bug sur la plateforme en moins de cinq heures.

Grâce aux efforts collectifs, Sushiswap affirme qu’aucun fonds n’a été perdu.

Selon unposte Publié par Sushiswap lundi, Sam THU et ses collègues Georgios Konstantopoulos et Daniel Robinson – tous de la société d'investissement Crypto Paradigm basée à San Francisco – ont contacté l'équipe de SUSHI pour les alerter d'une « vulnérabilité » sur la « vente aux enchères hollandaise ». contractersur la plateforme Miso.

Lors d'une vente aux enchères hollandaise, les investisseurs placent des enchères correspondant au montant maximum qu'ils sont prêts à payer. Une fois les enchères collectées, l'enchère la plus élevée est déclarée gagnante. Une fois l'enchère finalisée, les enchères non retenues sont restituées à leurs propriétaires.

La vulnérabilité

L'équipe Sushiswap et Le THU du paradigme, dans des publications distinctes, tous deux ont identifié que, essentiellement, la vulnérabilité était centrée sur la capacité à regrouper plusieurs appels àcommitEthet réutiliser un seulvaleur du messagesur chaque engagement, permettant à un attaquant de participer gratuitement à l'enchère.

« Combinaison de lots aveccommitEth(une fonction de Miso Dutch Auction) crée un problème à deux volets où un utilisateur peut à la fois prendre un engagement supérieur à «valeur du message« drainant ainsi tous les jetons invendus et drainant en plus les fonds collectés sur le contrat sous forme de remboursements si l'enchère a atteint l'engagement maximum », a écrit l'équipe de SushiSwap dans le message.

« Le bug a été créé lorsqu'une fonction de commodité pour les adresses de portefeuille a interagi avec le mécanisme de remboursement du contrat d'enchères », a expliqué Duncan Townsend, CTO chez Immunefi, une plateforme de bug bounty pour la Finance décentralisée (DeFi) qui a également été recrutée pour aider à résoudre le problème.

« Les utilisateurs pourraient surenchérir et obtenir un remboursement de la différence entre l'enchère actuelle et le montant qu'ils ont soumis, mais le remboursement pourrait être répété pour vider le contrat d'enchères », a ajouté Townsend.

« Toutes les futures enchères prévues utilisant les contrats d'enchères néerlandais spécifiques avec des engagements ETH ont été suspendues jusqu'à ce qu'une version mise à jour soit redéployée », a écrit l'équipe de SushiSwap.

À retenir : les contrats intelligents sont difficiles

À la conclusion de son article de blog, THU a indiqué que ONEune des leçons les plus importantes à tirer de cette À découvrir est que même « des composants sûrs peuvent s’assembler pour créer quelque chose de dangereux ».

Les contrats intelligents qui sous-tendent la DeFi sont complexes, combinant des blocs Lego « composables » pour créer de nouveaux contrats et protocoles. Cependant, la manière dont ces blocs sont combinés peut avoir des conséquences imprévues et désastreuses, même lorsque les programmeurs utilisent des composants individuels intrinsèquement sûrs.

« Cet incident montre que même des composants contractuels sûrs peuvent être mélangés de manière à produire un comportement contractuel dangereux. Il n'existe pas de règle universelle à appliquer ici, comme celle de "vérifier l'effet de l'interaction", il suffit donc d'être conscient des interactions supplémentaires introduites par les nouveaux composants », a déclaré THU

L'événement a eu lieu juste après le plus grand exploit DeFi à ce jour la semaine dernière : le site DeFi inter-chaînes POLY Network a été attaqué, perdant plus de 600 millions de dollars en crypto-monnaies, à cause d'un bug.

Cependant, dans le cas de la vulnérabilité Sushiswap , de nombreux membres de la communauté Crypto se sont rendus sur les réseaux sociaux pour saluer les efforts de sauvetage collectif de cinq heures menés par la branche de recherche de Paradigm.

« Chad af », a écrit l'utilisateur de Twitter @KadenZipfel (un « chad » fait généralement référence à un « mâle alpha » dans le langage courant de l'argot Internet).

« Absolute King », un autre utilisateur de Twitter, @BanhbaoCrypto,a écrit« Le super-héros DeFi dont nous avons tous besoin mais que nous ne méritons T ! »