Một hacker mũ trắng vừa giúp SushiSwap vá lỗ hổng có thể dẫn đến thất thoát $ 350 triệu

Sàn giao dịch phi tập trung SushiSwap suýt trở thành nạn nhân của vụ tấn công DeFi nếu không nhờ sự hỗ trợ từ một hacker mũ trắng.

Hacker giúp SushiSwap ngăn chặn thất thoát $350 triệu

Nhà nghiên cứu bảo mật từ công ty đầu tư mạo hiểm Paradigm, samczsun, đã phát hiện thấy một lỗ hổng từ nền tảng launchpad MISO của SushiSwap khi đang đọc những dòng code hợp đồng thông minh của đợt mở bán BitDAO.

Cụ thể, samczsun phát hiện ra một lỗ hổng trong hợp đồng thông minh Đấu giá Hà Lan (Dutch Auction) của MISO, với một số chức năng thiếu sự kiểm duyệt quyền truy cập. Với lỗi tiềm tàng này, nếu có hacker phát hiện ra, SushiSwap có khả năng bị tấn công. Và sự tinh tế, tận tâm này của anh ta đã giúp SushiSwap thoát khỏi khoản lỗ có thể lên tới 109.000 ETH.

Auditor’s logs, 16th of August. I found a critical vulnerability in SushiSwap’s MISO platformhttps://t.co/untzdxay7q

— samczsun (@samczsun) August 17, 2021

“Ngày 16 tháng 8, tôi đã tìm thấy một lỗ hổng nghiêm trọng trong nền tảng MISO của SushiSwap”.

Sau khi kiểm tra lỗi, khẳng định đây đúng là lỗ hổng nghiêm trọng, samczsun đã liên hệ với các đồng nghiệp của mình ở Paradigm, Georgios Konstantopoulos và Dan Robinson, cùng Giám đốc Công nghệ (CTO) của SushiSwap, Joseph Delong để vá lỗi. Ngay khi phát hiện thấy lỗi, samczsun chia sẻ:

“Ban đầu, tôi không tin đây thật sự là một lỗ hổng lớn. Bởi tôi không ngờ được đội ngũ SushiSwap lại mắc phải một sai lầm nghiêm trọng như vậy”.

Qua chia sẻ, anh chàng hacker mũ trắng này nhận thấy nếu lỗ hổng mà bị khai thác, tất cả tài sản tiền điện tử trong hợp đồng đấu giá token sẽ bị rút sạch. Kẻ tấn công có thể sử dụng 1 ETH để liên tục lặp đi lặp lại hàng loạt lần truy cập hợp đồng và đặt giá thầu trong phiên đấu giá hoàn toàn miễn phí.

Phía SushiSwap cho biết không có tài sản nào thất thoát trong vụ việc này. Đồng thời, SushiSwap sẽ tạm dừng sử dụng Đấu giá Hà Lan cho MISO cho đến khi hợp đồng thông minh được cập nhật an toàn.

Khá nhiều người dùng đã lên tiếng về trường hợp hi hữu này. Trong đó, một người dùng mang tên “DC Investor” chia sẻ:

“Mọi người hẳn đã biết Paradigm đầu tư rất nhiều vào Uniswap. Nhưng samczsun của Paradigm vừa giúp SushiSwap tránh được một bàn thua trông thấy bằng cách vá một lỗ hổng nghiêm trọng. Đây là chính là đạo đức hay được nhắc tới trong giới hacker đó”. 

Việc bán token BitDAO đã diễn ra mà không gặp bất kỳ khó khăn nào, huy động được hơn 112.000 ETH, trị giá khoảng $ 336 triệu, từ hơn 9.200 người tham gia.

• Bi hài chuyện hacker đánh cắp $611 triệu từ Poly Network đang trả thêm tiền cho ai có thể hack dự án DeFi này
• Chi nhánh Thâm Quyến của PBoC Trung Quốc đóng cửa 11 công ty kinh doanh crypto phi pháp

Xoài

Theo Cointelegraph