La plataforma de lanzamiento de tokens de SushiSwap hackeada por más de $3 millones en Ethereum
Según los informes, la plataforma de tokens de SushiSwap llamada MISO fue atacada el jueves, con el hacker robando 864.8 Ethereum, aproximadamente $3 millones en precios actuales.
SushiSwap es uno de los intercambios descentralizados (DEX) más grandes del mundo y rival de Uniswap,con más de $495 millones en volumen de operaciones en las últimas 24 horas, según CoinGecko.
Como se describe en el sitio web del proyecto, MISO es «un conjunto de contratos inteligentes de código abierto creados para facilitar el proceso de lanzamiento de un nuevo proyecto en el intercambio SushiSwap».
Según el CTO de SushiSwap, Joseph Delong, MISO fue víctima de un llamado ataque a la cadena de suministro, que vio a un contratista anónimo que pasaba por debajo del mango de GitHub AristoK3 inyectar código malicioso en el front-end de la plataforma y reemplazar la billetera de la subasta con su propia dirección.
La única subasta explotada fue la subasta @JayPegsAutoMart. El atacante insertó su propia dirección de billetera para reemplazar la auctionWallet en la creación de la subasta.
Todas las subastas efectuadas han sido parcheadas.
– Joseph 🤝 Delong 🔱 (@josephdelong) 17 de septiembre de 2021
La subasta explotada de NFT en cuestión es Jay Pegs Auto Mart, con temática de automóviles, que ya ha sido parcheada.
Según el explorador de blockchain de Ethereum Etherscan, que ha identificado la dirección compartida por Delong como la involucrada en el exploit MISO, el ataque ocurrió a las 12:04 pm hora del este del jueves.
A las 9:45 a.m., hora del este del viernes, Delong anunció que todos los fondos robados fueron devueltos.
Esta no es la primera vez que MISO se encuentra con un problema similar. En una ocasión anterior, sin embargo, el equipo de la plataforma se escapó a la ligera.
El mes pasado, samczsun, un investigador de seguridad de la firma de capital de riesgo Paradigm, descubrió una vulnerabilidad mientras examinaba el código de contrato inteligente de la venta de tokens BitDAO en la plataforma MISO.
El investigador dijo que la vulnerabilidad podría haber resultado en una pérdida de alrededor de $350 millones.
La venta concluyó sin ningún incidente, recaudando $365 millones en el proceso. Sin embargo, requirió que el equipo de BitDAO finalizara manualmente la subasta de tokens para neutralizar la amenaza potencial.
¿Se conoce la identidad del hacker?
SushiSwap afirma que hay razones para creer que el hacker es un usuario de Twitter @eratos1122, que «ha trabajado con Yearn.Finance y se ha acercado a muchos otros proyectos».
Hemos pedido a @FTX_Official y @Binance que entreguen la información KYC de los atacantes, pero se han resistido en este asunto sensible al tiempo.
El atacante (s) ha trabajado con @Yearn y se ha acercado a muchos otros proyectos. Le insto a que revise sus propios front-ends en busca de exploits.
– Joseph 🤝 Delong 🔱 (@josephdelong) 17 de septiembre de 2021
Sin embargo, el perfil de Twitter al que Delong vinculó muestra un identificador de GitHub diferente, no AristoK3 como afirma SushiSwap.
Delong agregó que SushiSwap pidió a los intercambios de criptomonedas FTX y Binance que compartieran la información de conocimiento del cliente (KYC) del hacker atacante, «pero se han resistido en este asunto sensible al tiempo».
«Le recomiendo que pruebe su propia interfaz de usuario para identificar exploits desde el principio», dijo Delong.
También declaró que SushiSwap instruyó al abogado de la compañía, Stephen Palley, a presentar una queja ante el FBI si los fondos robados no se devuelven antes de las 8 am hora del este del viernes.
Pagina Original:
