Odaily星球日报译者|念银思唐
据报道,SushiSwap的Launchpad平台MISO遭到攻击,黑客窃取了864.8枚ETH,以当前价格计算价值超300万美元。SushisSwap是全球最大的去中心化交易所之一,也是Uniswap的竞争对手。CoinCecko数据显示,截至发稿时,SushisSwap在过去24小时内的交易额超过4.95亿美元。正如该项目官网所述,MISO是“一套开源智能合约,旨在简化在SushisSwap交易所上线新项目的过程。”据SushiSwap的首席技术官JosephDelong称,MISO遭到了所谓的供应链攻击。一名匿名承包商在GitHub的HandlerAristoK3下向MISO平台前端注入了恶意代码,并用自己的钱包地址替换了拍卖的钱包地址。注:根据百度百科介绍,供应链攻击是一种面向软件开发人员和供应商的新兴威胁。目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。
GoldenTree赎回质押的590万枚SUSHI,并将251万枚SUSHI转入币安:金色财经报道,据推特加密KOL余烬监测,半小时前,资管公司GoldenTree赎回了质押的590万枚SUSHI,并将251万枚SUSHI转入了币安。
GoldenTree的SUSHI是在去年9-10月买入:当时他们在SUSHI论坛表示看好SUSHI并购买了590万枚SUSHI,买入成本约1.2美元。[2023/3/23 13:21:26]
此次受影响的是以汽车为主题的NFT项目JayPegsAutoMart的DONA代币。目前该漏洞已经修复。根据以太坊区块链浏览器Etherscan的数据,攻击发生在美国东部时间周四下午12:04,该公司已将Delong披露的黑客地址确定为涉及MISO攻击的地址。这其实不是MISO第一次遇到类似的问题,但上一次是因为有“贵人相助”才得以幸免。8月18日,区块链投资机构Paradigm研究合伙人、白帽黑客samczsun撰文披露BitDAO此前在SushiSwapMISO平台进行荷兰式拍卖的智能合约存在安全漏洞,多名白帽黑客联手从众筹资金池中拯救回10.9万枚ETH的经过。SushiSwap首席技术官JosephDelong随后发布漏洞分析,证实samczsun所报告的漏洞及白帽拯救行动,MISO平台上ETH众筹池中价值3.5亿美元的ETH现已安全。samczsun称,这可能是最大的白帽拯救行动。此次白帽拯救行动导致BitDAO在MISO平台进行的荷兰拍中的ETH资金池提前结束,参与者可以提前领取BIT代币并在SushiSwap上进行交易。Paradigm研究团队成员、Immunefi团队成员和SushiSwap开发团队参与了本次行动。十天后,Delong发推称,SushiSwap向samczsun支付了100万USDC作为漏洞赏金。当时的拍卖顺利结束,在此过程中筹集了3.65亿美元。值得一提的是,MISO要求BitDAO团队手动结束代币拍卖,以消除潜在威胁。黑客身份是否锁定?
Primitive Ventures创始人万卉:激进DEFI包括Sushi和Unitrade:今日,Primitive Ventures创始人万卉在微博表示,DEFI可以分为以下几类:古典defi:Bancor/Maker,复古defi:Melon/Nexus Mutual/Aave,先锋defi:Uniswap/Yearn/Dfi.Money/Akropolis,激进defi:Sushi/Unitrade。值得一提的是,万卉最近频繁对于Unitrade表示关注。[2020/9/3]
SushiSwap声称有理由相信该名黑客是Twitter用户@eratos1122,他“曾与Yearn.Finance合作并接触过许多其他项目。”
SushiSwap锁定代币总价值已超7亿美元:未经审计的DeFi协议SushiSwap刚运行3天,其锁定资产总价值(TVL)已超过7亿美元。8月28日晚,SushiSwap宣布启动,在不到12小时内吸金2.7亿美元。据了解,SushiSwap的逻辑很像Uniswap,也是为提供流动性的用户提供奖励,但玩法有一点不同。Uniswap的逻辑是仅在LP(流动性提供者)提供流动性的时候,才能获得0.3%的手续费奖励,一旦Uniswap的LP停止提供流动性,奖励也随之停止。为了鼓励大家使用SUSHI,项目方将SUSHI/ETH这个池子设计为2倍奖励,据此计算,年化暂时高达9500%。
注:CertiK安全研究团队此前曾表示,SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。(The Block)[2020/8/31]
然而,Delong链接到的Twitter个人资料显示了不同的GitHubHandler,而不是SushiSwap声称的AristoK3。Delong补充说,SushiSwap寻求加密货币交易所FTX和币安共享攻击者的KYC信息,“但他们在这一时效性问题上予以抗拒。”“我建议您测试自己的用户界面,以便尽早发现漏洞。”Delong说。他还表示,如果被盗资金在美国东部时间周五上午8点之前仍未归还,他将指示该公司的律师StephenPalley向联邦调查局报案。更新:
今日晚间9时许,SushiSwapLaunchpad平台MISO攻击者陆续归还全部盗取资产,共865ETH,还有人向攻击者发送了一枚DONA代币。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。