Un hacker de white-hat le ahorró USD 350 millones a SushiSwap al encontrar un exploit “obvio”

Un investigador de seguridad encontró un fallo en un contrato inteligente de subasta holandesa que podría haber provocado la pérdida de 109,000 ETH.

El exchange descentralizado SushiSwap ha evitado por poco convertirse en la última víctima de hackeo de DeFi gracias a la ayuda de un hacker de white-hat.

Un investigador de seguridad de la empresa de capital de riesgo Paradigm, conocido en Twitter como samczsun“, ha conseguido salvar a SushiSwap y su plataforma MISO de una posible pérdida de hasta 109,000 ETH.

En una entrada de blog publicada el 17 de agosto, el programador describió cómo empezó a examinar el código del contrato inteligente para la venta de tokens de BitDAO en la plataforma de lanzamiento de tokens de SushiSwap, MISO.

Al inspeccionar más de cerca, encontró un fallo en el contrato de subasta holandesa de MISO por el que algunas de las funciones carecían de controles de acceso.

“Sin embargo, no esperaba que esto fuera una vulnerabilidad, ya que no esperaba que el equipo de Sushi diera un paso en falso tan obvio.”

Tras una investigación más profunda, el hacker descubrió una vulnerabilidad que, de ser explotada, podría hacer que un actor malicioso drenara todos los criptoactivos del contrato de subasta de tokens. Un atacante podría reutilizar el mismo ETH una y otra vez para hacer múltiples llamadas al contrato y “pujar en la subasta gratis”.

Samczsun probó la vulnerabilidad con un exploit exitoso antes de ponerse en contacto con sus colegas Georgios Konstantopoulos y Dan Robinson para que echaran un vistazo y comprobaran los hallazgos. También descubrió que un hacker podía robar los fondos del contrato activando un reembolso mediante el envío de una cantidad de ETH superior al tope duro de la subasta.

“De repente, mi pequeña vulnerabilidad se hizo mucho más grande. No me estaba enfrentando a un fallo que te permitiera superar la oferta de otros participantes. Estaba ante un bug de USD 350 millones.”

Llegó entonces el momento de ponerse en contacto con el CTO de SushiSwap, Joseph Delong, para formular un plan de rescate antes de que el exploit fuera descubierto. Se decidió que el equipo de BitDAO que realizaba la venta de tokens terminaría manualmente la subasta comprando la asignación restante y finalizando inmediatamente el proceso y rescatando los fondos.

SushiSwap señaló que no se perdieron fondos en el esfuerzo de rescate, y agregó que pausará el uso de su formato de subasta holandesa MISO hasta que se pueda actualizar el contrato inteligente. El miembro de la comunidad de criptomonedas “DC Investor” comentó:

“Todo el mundo sabe que Paradigm tiene grandes exchanges de UNI / Uniswap, pero Sam de su equipo acaba de ayudar a salvar a SushiSwap (un competidor ostensible) de un error crítico. Este es el ethos del espacio entre los mejores actores.”

La venta de tokens de BitDAO se desarrolló sin problemas; recaudó más de 112,000 ETH, valorados en unos USD 336 millones, de más de 9,200 participantes, según un tuit del protocolo del 17 de agosto.

Sigue leyendo:

Ir a la Fuente
Author: Martin Young

Envía un comentario