5小时拯救35亿美元!Sushi MISO现漏洞,白帽骇客保住BitDAO筹得资金
Paradigm 研究伙伴 Samczsun 在短短 5 个小时内上演了一场可能是 DeFi 史上最大的一场白帽救援行动。据周二17发表的一则文章,Samczsun 在 SushiSwap 的 MISO 平台上,发现了其荷兰式拍卖的智能合约中存在漏洞,高达 35 亿美元的以太币更因此暴露在风险之中。前情提要:Bybit IDOBitDAO 已筹得38亿美元!以太额度售罄、SUSHI众筹池尚存58背景补充:科普DeFi新视野!一文读懂Sushiswap新推的MISO 去中心化代币发行平台
据Paradigm 研究员 Samczsun 周二17报告,BitDAO 昨日透过 MISO 平台进行的荷兰式拍卖中存在智能合约漏洞,经多名白帽骇客联手才挽救回暴露在风险之下的 109 万枚以太币。
在 Paradigm、Immunefi 和 SushiSwap 等团队联手处理下,一场涉及 35 亿美元资金的潜在攻击行动被成功提前阻止。
简单来说,MISO 平台上的漏洞会错误地处理荷兰式拍卖中的失败事务,即智能合约不会拒绝超过拍卖硬上限的交易,反而是在拍卖结束后退款给用户。
因此,攻击者可以利用 MISO 平台上的漏洞免费投标,并获得提交金额和当前出价间的差额退款,直到耗尽合约中的所有资金。
Samczsun 将这一漏洞比作去年 8 月导致 DeFi 选择权平台 Opyn 遭骇客攻击的的漏洞,那起攻击造成了约 37 万美元的损失。
Immunefi 技术长 Duncan Townsend 解释道:
为了填补这个漏洞,昨日在 MISO 平台上进行荷兰式拍卖的 BitDAO 也提早结束了以太币众筹池的进度。最终,白帽组成的团队花了 5 个小时内进行修复,保障了高达 35 亿美元的资金不会落入骇客之手。
SushiSwap 团队也在修复完毕后透过声明表示:
智能合约复杂且困难
Samczsun 在文章的结语中反思了这场白帽行动中得到的教训:
BitGet交易平台他表示,支持 DeFi 运作的智能合约相当复杂,尤其它们又会透过可组合的DeFi 乐高创建出新的合约和协议。但是,即使采用的是安全的组件,DeFi 乐高仍可能会无意间导致灾难性的后果。
涉及金额高达 6 亿美元、堪称史上最大 DeFi 骇客案的 Poly Network 攻击事件也才刚过去一周,老字号的 SushiSwap 就也立刻出现了如此重大的纰漏,足见 DeFi 确实还相当大的成长与改革空间。
相关报导
史上最大遭骇案》Poly骇客已还6亿美元近全数,霸气拒绝Defi抓漏奖金!BSC链上聚合器 Eleven Finance 遭骇!逻辑漏洞连环闪电贷攻击,共损失 512 万美元干货 Amber 安全专家吴博士:剖析 BSC 的闪电贷攻击手法,如何再引发 3 个分叉项目连环爆?LINE 与 Messenger 不定期为大家服务
