Lima, Perú
+5113014109

Vulnerabilidad de SushiSwap de 350 millones de dólares parcheada de forma segura

Vulnerabilidad de SushiSwap de 350 millones de dólares parcheada de forma segura


Conclusiones clave

  • Samzcsun de Paradigm.xyz detectó recientemente una vulnerabilidad de 350 millones de dólares en los contratos inteligentes MISO de SushiSwap.
  • La vulnerabilidad provocó que uno de los contratos de SushiSwap emitiera un reembolso sin cancelar la transacción correspondiente.
  • El error se solucionó antes de que se revelara o explotara.

Comparte este artículo

Un error de SushiSwap que generó más de $ 350 millones de Ethereum en riesgo se ha parcheado de forma segura, según el investigador de seguridad samzcsun.

La vulnerabilidad podría haber agotado los contratos

La falla de seguridad se refiere a la plataforma MISO de SushiSwap. Los desarrolladores pueden usar MISO para lanzar nuevos tokens, similar a una ICO.

en un entrada en el blog en Paradigm.xyz, samzcsun dijo que se encontró con una discusión sobre un aumento en la plataforma. A partir de ahí, decidió inspeccionar el código del proyecto en Etherscan.

Samzcsun notó una falla en una de las bibliotecas de procesamiento por lotes de MISO. Esencialmente, esta vulnerabilidad manejó mal las transacciones fallidas. En lugar de rechazar una transacción que superó el límite máximo de una subasta, el contrato reembolsó la transacción al usuario.

Esto podría haber permitido a un atacante drenar fondos de SushiSwap hasta el límite máximo de cada subasta. Samzcsun escribió:

De repente, mi pequeña vulnerabilidad se hizo mucho más grande. No estaba lidiando con un error que te permitiría superar a otros participantes. Estaba viendo un error de 350 millones de dólares.

Samzcsun comparó esta vulnerabilidad con una que condujo a un hack en la plataforma de comercio de opciones DeFi Opyn el año pasado. En ese ataque, los piratas informáticos consiguieron 371.000 dólares de USDC.

El error se reparó en cinco horas

Samzcun y el equipo de SushiSwap intentaron corregir el error comprando los fondos asignados con un préstamo flash, finalizando la subasta y luego reembolsando el préstamo flash con fondos de la subasta.

El plan se complicó más por el hecho de que había una subasta por lotes concurrente que no funcionaba de la misma manera y no era vulnerable al exploit. Esta subasta fue mucho más pequeña, con solo $ 8 millones en juego, por lo que el equipo decidió seguir adelante con la solución para rescatar los $ 350 millones en la subasta en riesgo.

«Incluso si alguien fuera alertado por nuestra detención forzada de la subasta holandesa y encontrara el error en la subasta por lotes, todavía ahorraríamos la mayor parte del dinero», señaló Samzcsun.

El equipo encontró una manera de pausar la subasta por lotes y luego procedió a recuperar los fondos de la subasta en riesgo. Samzcun señaló que solo tomó cinco horas rescatar los fondos.

El anuncio de hoy se produce pocos días después de un ataque de 600 millones de dólares al Poly Network, otra plataforma DeFi de alto perfil. Las dos vulnerabilidades no estaban relacionadas.

Descargo de responsabilidad: en el momento de escribir este artículo, este autor tenía menos de $ 75 en Bitcoin, Ethereum y altcoins.

Comparte este artículo



Enlace fuente

Post Relacionados
× ¿Cómo puedo ayudarte? Available from 09:00 to 18:00