‘Hacker do bem’ salva US$ 350 milhões da SushiSwap ao apontar uma falha ‘óbvia’ no protocolo
Um pesquisador de segurança encontrou uma falha em um contrato inteligente da plataforma de lançamento de tokens MISO que poderia ter resultado na perda de 109.000 ETH para a Sushiswap.
A corretora descentralizada SushiSwap escapou por pouco de se tornar a mais nova vítima de um ataque hacker ao setor de DeFi. A exploração da falha foi evitada graças ao alerta de um hacker “white hat” – um pesquisador que identifica falhas de segurança em sistemas alertando as possíveis vítimas sobre o perigo em potencial.
Um pesquisador de segurança da empresa de capital de risco Paradigm, conhecido no Twitter como Samczsun, conseguiu salvar o SushiSwap e sua plataforma Miso de uma perda potencial de até 109.000 Ether (ETH).
Em uma postagem em um blog da empresa publicada na terça-feira, o programador explicou como ele começou a examinar o código do contrato inteligente para a venda de token BitDAO na Miso, plataforma de lançamento de tokens da SushiSwap.
Just pulled off maybe the biggest whitehat rescue ever. Story time soon
— samczsun (@samczsun) August 17, 2021
Acabei de realizar o maior resgate de chapéu branco de todos os tempos. A história em breve
Com uma inspeção mais detalhada, ele encontrou uma falha em um contrato de um leilão holandês na Miso: algumas das funções não tinham controles de acesso.
“Eu realmente não esperava que se tratasse de uma vulnerabilidade, já que não esperava que a equipe da Sushi cometesse um erro tão óbvio.”
Após uma investigação mais aprofundada, o “hacker do bem” descobriu uma vulnerabilidade que, se explorada, poderia ter resultado na drenagem de todos os criptoativos do contrato de leilão de tokens por um ator mal-intencionado. Um invasor poderia reutilizar os mesmos ETHs repetidamente, agrupando várias chamadas para o contrato, para “dar lances no leilão de graça”.
Samczsun testou a vulnerabilidade com um ataque bem-sucedido e depois entrou em contato com seus colegas Georgios Konstantopoulos e Dan Robinson para pedir que eles confirmassem suas suspeitas. Ele também descobriu que um hacker poderia roubar os fundos do contrato ao enviar uma quantia maior de ETH do que o limite máximo do leilão, acionando um reembolso.
“De repente, minha pequena vulnerabilidade ficou muito maior. Eu não estava lidando com um bug que permitiria que você superasse os lances de outros participantes. Eu estava testemunhando um bug de 350 milhões de dólares.”
Era hora de entrar em contato com o chefe de tecnologia da SushiSwap, Joseph Delong, para formular um plano de resgate antes que a falha fosse descoberta. Foi decidido que a equipe do BitDAO responsável pela venda dos tokens encerraria manualmente o leilão, comprando a alocação restante, finalizando imediatamente o processo, e resgatando os fundos.
A SushiSwap afirmou que nenhum dinheiro foi perdido no processo de resgate dos fundos, acrescentando que interromperá o uso do leilão holandês Miso até que o contrato inteligente possa ser atualizado. DCinvestor, membro da comunidade Crypto, comentou:
“Todo mundo sabe que a Paradigm tem grandes quantidades de UNI / Uniswap, mas Sam, da equipe da Paradigm, simplesmente ajudou a salvar a SushiSwap (uma concorrente ostensiva) de um bug crítico. Este é o ethos do espaço com seus melhores atores.”
A venda de tokens da BitDAO ocorreu sem problemas. O leilão levantou mais de 112.000 ETH, avaliados em cerca de US $ 336 milhões, de mais de 9.200 participantes, de acordo com um tweet do protocolo na terça-feira.
LEIA MAIS
- Hackers russos ‘ostentação’ são procurados pelo FBI e desafiam as autoridades postando fotos com pilhas de dinheiro
- Invasão de hackers nos sistemas do Porto de Fortaleza pedindo Bitcoin completa 10 dias sem solução
- Startup de Finanças Descentralizada tem falha explorada por hacker e perde US$ 1 milhão em Ethereum