Login Suscríbase

El hacker blanco evitó el robo potencial del proyecto DeFi SushiSwap de 350 millones de dólares

El socio de Paradigm, el especialista en ciberseguridad Sam Sun, explicó cómo identificó y ayudó a eliminar la vulnerabilidad en el proyecto DeFi SushiSwap. El fallo amenazó con perder más de 109.000 ETH (~297 millones de euros en el momento).

El experto estudió la plataforma SushiSwap para liberar nuevos tokens y atraer financiación de MISO (Oferta Inicial Mínima SushiSwap – Minimal Initial SushiSwap Offering). Ofrece dos tipos de subastas – paquete (garantiza que cada participante reciba una parte de tokens igual a su contribución) y holandés (el precio del token se fija en un alto nivel y disminuye con el tiempo).

El experto llamó la atención sobre el error que fue utilizado por el hacker en el ataque a Opyn. El atacante luego retiró alrededor de 315.000€ de herramientas de usuarios del proyecto DeFi.

En el caso de MISO, la situación era más peligrosa. Sam Sun descubrió que la vulnerabilidad permite que la subasta se recupere para cada ETH enviado por encima de un límite establecido. Esto significaba que, en lugar de abandonar las transacciones, el contrato simplemente reembolsaría todos los fondos.

 “De repente, una pequeña vulnerabilidad se hizo mucho mayor. No me enfrenté a un error que habría permitido que las apuestas de otros miembros sean superadas. Encontré un error por 350 millones de dólares”, escribió el investigador.

Los activos figuraban en el contrato de la subasta neerlandesa en curso en MISO.

Sam Sun se puso en contacto con el equipo de SushiSwap y varios expertos externos. El grupo desarrolló tres soluciones:

  • Dejar todo sin cambios en el cálculo de que el error no será detectado;
  • Ahorrar los fondos retirándolos mediante su explotación;
  • Terminar la subasta manualmente.

El grupo eligió lo último.

El problema era más amplio: en la MISO había una subasta activa de paquetes de 8 millones de dólares, que también estaba amenazada. Decidieron no hacer nada con él, ya que no había posibilidad de terminación forzada.

 “En general, solo tomó cinco horas proteger 350 millones de dólares de caer en las manos equivocadas. A pesar de que no hubo pérdidas financieras, estoy seguro de que todos los participantes preferirían no pasar por este proceso en absoluto”, – señaló Sam Sun.

Concluyó que incluso los componentes seguros de los protocolos DeFi durante la integración podrían conducir a vulnerabilidades contractuales.

En el momento de escribir este informe, el mayor hackeo en la historia del sector financiero descentralizado sigue siendo el robo de 611 millones de dólares en activos del protocolo Poly Network.

El hacker devolvió todos los fondos robados al proyecto y rechazó la recompensa de $500,000. Según él, el ataque fue “por diversión”.

El socio de Paradigm, el especialista en ciberseguridad Sam Sun, estudió la plataforma SushiSwap para liberar nuevos tokens y atraer financiación de MISO. El experto llamó la atención sobre el error que fue utilizado por el hacker en el ataque a Opyn. El atacante luego retiró alrededor de 315.000€ de herramientas de usuarios del proyecto DeFi. El fallo amenazó con perder más de 109.000 ETH (~297 millones de euros en el momento).

Plus d’actions
Partagez

¡Creo que el blockchain y la criptomoneda son el futuro! Y realmente quiero transmitir ese mensaje a un público más amplio, porque cuanta más gente crea en las criptomonedas, ¡más rápido llegará el futuro!

DISCLAIMER
Los puntos de vista, pensamientos y opiniones expresados en este artículo pertenecen exclusivamente al autor, y no deben tomarse como un asesoramiento de inversión. Por favor realice su propia investigación antes de tomar cualquier decisión de inversión.
Back To Top

Boletín de noticias

Reciba las mejores noticias sobre criptomonedas en su bandeja de entrada

Boletín de suscripción

Archivos

Lea los últimos boletines de noticias
Haga clic aquí.

Formación gratuita

" Consiga una sesión de capacitación gratuita de una hora con un experto Rellene el formulario y nuestro experto se pondrá en contacto con usted en 48 horas"

© Cointribune - Todos los derechos reservados

Agence Tempo