Merkeziyetsiz borsa SushiSwap, beyaz şapkalı bilgisayar korsanı sayesinde büyük bir siber saldırı kurbanı olmaktan kıl payı kurtuldu.
Twitter'da "samczsun" olarak bilinen girişim sermayesi şirketi Paradigm güvenlik araştırmacısı, SushiSwap ve MISO platformunu 109.000 ETH'ye kadar ulaşması muhtemel potansiyel kayıptan kurtarmayı başardı.
17 Ağustos'ta yayımlanan blog yazısında programcı, SushiSwap'ın token başlatma platformu MISO'da, BitDAO token satışındaki akıllı sözleşme kodunu incelemeye başladığını anlattı.
Just pulled off maybe the biggest whitehat rescue ever. Story time soon
— samczsun (@samczsun) August 17, 2021
Yakından incelendiğinde, MISO Dutch müzayede sözleşmesinde, bazı işlevlerin erişim denetimlerinden yoksun olduğunu tespit etti.
"Sushi ekibinin bu kadar bariz bir yanlış adım atmasını ummadığım için bunun bir güvenlik açığı olmasını gerçekten beklemiyordum."
Daha derin bir araştırma yaptıktan sonra, istismar edilmesi halinde token müzayede sözleşmesindeki tüm kripto varlıklarının kötü niyetli kişiler tarafından boşaltılmasına neden olabilecek güvenlik açığı keşfetti. Potansiyel saldırgan, sözleşmede birden fazla çağrıyı gruplamak ve "açık artırmada ücretsiz teklif vermek" için aynı ETH'yi tekrar tekrar kullanabilecekti.
Samczsun, meslektaşları Georgios Konstantopoulos ve Dan Robinson'dan yardım alarak, bulduklarını kontrol etmelerini istedi. Güvenlik açığından yararlanarak testler gerçekleştirildi. Test sonunda herhangi bir bilgisayar korsanının, açık artırma üzerinden daha yüksek miktarda ETH gönderdikten sonra geri ödemeyi tetikleyerek sözleşmedeki fonları çalabileceği de keşfedildi.
"Küçük bulgu, çok daha büyük bir duruma dönüştü. Diğer katılımcıları geride bırakmanıza izin verecek bir hatayla uğraşmıyordum. 350 milyon dolarlık bir hataya bakıyordum."
İlgili: Bitcoin ağında "Double-Spend (Çift Harcama)" paniği!
Koddaki açık, kötü niyetli kişilerce tespit edilmeden önce kurtarma planı oluşturmak için SushiSwap CTO'su Joseph Delong'a ulaştılar. Token satışını elinde tutan BitDAO ekibi, açık artırmayı elle sonlandırdı.
SushiSwap, herhangi bir para kaybı olmadığını belirterek, akıllı sözleşme güncellenene kadar MISO Dutch müzayede formatının kullanımını duraklatacaklarını açıkladı.
BitDAO token satışı, 17 Ağustos'ta protokolden gönderilen bir tweet'e göre 9.200'den fazla katılımcıyla yaklaşık 336 milyon dolar değerinde 112.000 ETH ile tamamlandı.