9.9 C
Tokyo
Saturday, December 4, 2021

ホワイトハットがSushiSwapで3億5000万ドルの強盗の可能性を否定した-CoinDesk

Must read

ホワイトハットが潜在的な$350M Heist on SushiSwap

暗号投資会社Paradigmの研究パートナーが率いる暗号コミュニティの人々のグループSam Sun 、SushiSwapのトークン資金調達プラットフォームMisoが$2021以上を失うのを防いだ可能性がありますわずか5時間以内にプラットフォームのバグを発見して修正した後、100万相当のether

共同の努力のおかげで、SushiSwapは資金が失われていないと言います。

SushiSwapによって公開された投稿によると月曜日に、SamSunと彼の同僚であるGeorgiosKonstantopoulosとDanielRobinsonは、すべてサンフランシスコに本拠を置く暗号投資会社Paradigmの出身で、Sushiのチームに連絡を取り、「オランダのオークション」の「脆弱性」について警告しました味噌プラットフォームでの契約

オランダ語でオークションでは、投資家は彼らが支払うことをいとわない最大額を反映して入札を行います。 入札が収集されると、最高入札額が勝者として宣言されます。 オークションが終了した後、失敗した入札は所有者に返されます。

脆弱性

SushiSwapチームとParadigm’s Sun、別々の投稿で、両方とも、本質的に、脆弱性はcommitEth

への複数の呼び出しをバッチ処理する機能に集中していることを特定しましたそして単一のmsg.valueを再利用しますすべてのコミットメントにわたって、攻撃者が無料でオークションに入札できるようにします。

「バッチとの組み合わせcommitEth(Miso Dutch Auctionの関数)は、ユーザーが両方を置くことができる2つの問題を作成します'msg.value'よりも高いコミットメントを上げて、売れ残ったトークンを排出しますさらに、オークションが最大コミットメントに達した場合は、契約で調達した資金を払い戻しとして排出します」と、SushiSwapのチームは投稿に書いています。

「このバグは、ウォレットアドレスのコンビニエンス機能がオークション契約の払い戻しメカニズムと相互作用したときに作成されました」とImmunefiのCTOであるDuncanTownsend氏は説明します。 、問題の解決を支援するためにも採用されたDeFiのバグ報奨金プラットフォーム。

「ユーザーは入札しすぎて、現在の入札額と提出した金額の差額の払い戻しを受けることができますが、払い戻しは次のように繰り返される可能性があります。タウンゼントは付け加えました。

「ETHコミットメントのある特定のオランダのオークション契約を利用する将来のすべての計画されたオークションは、更新されたバージョンまで一時停止されました。は再展開されます」とSushiSwapのチームは書いています。

要点:スマートコントラクトは難しい

Sunは、彼のブログ投稿の終わりに、この発見から学ぶべき最も重要な教訓の1つは次のことであると述べました。 「安全なコンポーネントが集まって、何かを危険にさらす可能性があります。」

DeFiを支えるスマートコントラクトは複雑で、「構成可能な」レゴブロックを組み合わせて新しいコントラクトとプロトコルを作成します。 しかし、これらのブロックを組み合わせる方法は、プログラマーが本質的に安全な個々のコンポーネントを使用している場合でも、不注意で悲惨な結果をもたらす可能性があります。 「この事件は、安全な契約レベルのコンポーネントでさえ、安全でない契約レベルの動作を生み出す方法で混合される可能性があることを示しています。 「check-effect-interaction」のようにここに適用する包括的なアドバイスはないので、新しいコンポーネントがどのような追加の相互作用を導入しているのかを認識する必要があります」とSunは述べています。

このイベントは、先週これまでで最大のDeFiエクスプロイトが発生した直後に発生しました:クロスチェーンDeFiサイトPoly Network攻撃され、100万ドル以上の価値を失った600バグによる暗号通貨の増加。

ただし、SushiSwapの脆弱性の場合、暗号コミュニティの多くはソーシャルメディアを利用して賞賛しています。パラダイムの研究部門が主導する5時間にわたる集団的救助活動。

「Chadaf」、Twitterユーザーの@KadenZipfelは次のように書いています(「chad」通常、インターネットスラングの一般的な用語で「アルファ男性」を指します。

「AbsoluteKing」、別のTwitterユーザー、@ BanhbaoCrypto、書きました。 「私たち全員が必要としているが、それに値しないDefiスーパーヒーロー!」

spot_img

More articles

返事を書く

あなたのコメントを入力してください。
ここにあなたの名前を入力してください

spot_img

Latest article