SushiSwap MISO平台遭攻击,被盗逾300万美元的ETH_USHI:Super Shiba

本文来自Decrypt,原文作者:AndrewAsmakov

Odaily星球日报译者?|念银思唐

据报道,SushiSwap的Launchpad平台MISO遭到攻击,黑客窃取了864.8枚ETH,以当前价格计算价值超300万美元。

SushisSwap是全球最大的去中心化交易所之一,也是Uniswap的竞争对手。CoinCecko数据显示,截至发稿时,SushisSwap在过去24小时内的交易额超过4.95亿美元。

正如该项目官网所述,MISO是“一套开源智能合约,旨在简化在SushisSwap交易所上线新项目的过程。”

SushiSwap将于5月17日发布IDO发行平台MISO,共三种代币发行形式:官方消息,SushiSwap宣布,将于5月17日发布IDO发行平台MISO。目前,MISO提供发行三种代币类型,可根据需求自行选择。代币一旦发行或者成功上线MISO,便可以根据需求在我们的其他模块中进行分发。

三种代币发行形式:总量固定的代币,标准的 ERC20 代币,没有再发行函数;总量可增发的代币,可再发行代币的ERC20代币,可以设置Minter和Pauser角色;SushiToken,总量可增发的代币的升级,增加了治理、挖矿、管理功能。

此外,项目方可根据自己的喜好选择众筹(Crowdsale)、荷兰式拍卖(Dutch auction)、批量拍卖(Batch Auction)、名单(Lists)等拍卖方式。在市场上拍卖成功后,项目方可选择将流动性添加至SushiSwap,并申请流动性激励计划Onsen。[2021/5/14 22:01:50]

据SushiSwap的首席技术官JosephDelong称,MISO遭到了所谓的供应链攻击。一名匿名承包商在GitHub的Handler?AristoK3下向MISO平台前端注入了恶意代码,并用自己的钱包地址替换了拍卖的钱包地址。

SUSHI短线突破2.2美元 日内涨逾15%:火币全球站行情显示,SUSHI持续拉升,短线突破2.2美元,当前报价回落至2.1876美元,日内涨幅为15.41%。行情波动较大,请注意风险控制。[2020/12/2 22:51:32]

注:根据百度百科介绍,供应链攻击是一种面向软件开发人员和供应商的新兴威胁。目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。

此次受影响的是以汽车为主题的NFT项目JayPegsAutoMart的DONA代币。目前该漏洞已经修复。

根据以太坊区块链浏览器Etherscan的数据,攻击发生在美国东部时间周四下午12:04,该公司已将Delong披露的黑客地址确定为涉及MISO攻击的地址。

SushiSwap创始人:MasterChef没有48小时时间锁定不能设置任何东西:有推特网友提问称:“对SushiSwap中还没有设置的迁移合约有什么看法?所有权转移到多签名(multisig)可能是在LP迁移之后发生的,这让Chef Nomi从明天起就可以随意地安排一个迁移合约。”对此SushiSwap创始人Chef Nomi回应称:“MasterChef合约所有权是时限,没有48小时的时间锁定我就不能设置任何东西。”此前消息, SushiSwap创始人Chef Nomi表示,合约审计已经完成,流动性迁移提案已获得社区批准。48小时后将可以进行迁移。[2020/9/5]

这其实不是MISO第一次遇到类似的问题,但上一次是因为有“贵人相助”才得以幸免。

8月18日,区块链投资机构Paradigm研究合伙人、白帽黑客samczsun撰文披露BitDAO此前在SushiSwapMISO平台进行荷兰式拍卖的智能合约存在安全漏洞,多名白帽黑客联手从众筹资金池中拯救回10.9万枚ETH的经过。SushiSwap首席技术官JosephDelong随后发布漏洞分析,证实samczsun所报告的漏洞及白帽拯救行动,MISO平台上ETH众筹池中价值3.5亿美元的ETH现已安全。

samczsun称,这可能是最大的白帽拯救行动。此次白帽拯救行动导致BitDAO在MISO平台进行的荷兰拍中的ETH资金池提前结束,参与者可以提前领取BIT代币并在SushiSwap上进行交易。Paradigm研究团队成员、Immunefi团队成员和SushiSwap开发团队参与了本次行动。十天后,Delong发推称,SushiSwap向samczsun支付了100万USDC作为漏洞赏金。

当时的拍卖顺利结束,在此过程中筹集了3.65亿美元。值得一提的是,MISO要求BitDAO团队手动结束代币拍卖,以消除潜在威胁。

黑客身份是否锁定?

SushiSwap声称有理由相信该名黑客是Twitter用户@eratos1122,他“曾与Yearn.Finance合作并接触过许多其他项目。”

然而,Delong链接到的Twitter个人资料显示了不同的GitHub?Handler,而不是SushiSwap声称的AristoK3。

Delong补充说,SushiSwap寻求加密货币交易所FTX和币安共享攻击者的KYC信息,“但他们在这一时效性问题上予以抗拒。”

“我建议您测试自己的用户界面,以便尽早发现漏洞。”Delong说。

他还表示,如果被盗资金在美国东部时间周五上午8点之前仍未归还,他将指示该公司的律师StephenPalley向联邦调查局报案。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:0ms0-1:133ms