Kritische Sicherheitslücke in SushiSwap gefährdet 350 Millionen US-Dollar

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Eine kritische Schwachstelle, die auf einer dezentralen Austauschplattform gefunden wurde SushiSwap über 350 Millionen US-Dollar in Gefahr gebracht, bevor es gestern Abend von den Entwicklern gepatcht wurde, a Prüfbericht heute morgen zeigte.

Es wurde von „samczsun“ entdeckt, einem pseudonymen Sicherheitsforscher bei Paradigm, der die Sushi-Entwickler schnell über den Fehler informierte und dazu beitrug, potenzielle Schäden zu mindern.

„Heute möchte ich Ihnen erzählen, wie ich eine Schwachstelle gefunden und geholfen habe, die über 109.000 ETH (~350 Millionen USD zum heutigen Wechselkurs) gefährdete“, schrieb Samczsun und fügte hinzu, dass der Exploit Protokolle beinhaltete, die Andernfalls sicher und fehlerfrei, aber das war ihr Verbund nicht.

|377aff9c4eba4936cbcdf072d59ca7a6|

Angetrieben vom SUSHI-Token ist SushiSwap eine auf Ethereum basierende dezentrale Börse, die es Benutzern ermöglicht, zu tauschen, zu verdienen, Erträge zu farmen und Kryptowährungen auszuleihen. Im Rahmen der Erweiterung seiner Produktpalette hat der DEX kürzlich auch das Programm Minimal Initial Sushi Offering (MISO) gestartet.

Und was ist MISO? Es ist ein SushiSwap-basiertes Protokoll, das es Benutzern und Entwicklern ermöglicht, neue Projekte zu starten und ihre Token sofort auf der SushiSwap-Börse aufzulisten. Diese Vereinbarung ermöglicht es SushiSwap, mehr Kapital zu gewinnen und noch mehr Benutzer zu bedienen.

Die Art und Weise, wie MISO mit SushiSwap interagiert, ist der Ort, an dem die Schwachstelle gefunden wurde. „Die MISO-Plattform betreibt zwei Arten von Auktionen: Niederländische Auktionen* und Sammelauktionen*“, schrieb samczsun. Der Forscher überprüfte dann den Code und fand einen Vertragscode ähnlich dem, der vom dezentralen Optionsmarktteam Opyn verwendet wurde, der es Hackern ermöglichte, die an den Vertrag gesendete ETH mehrmals wiederzuverwenden.

„Mir wurde klar, dass ich genau dieselbe Schwachstelle in einer anderen Form betrachtete“, sagte Samczsun und fügte hinzu:

„In einem Delegiertenaufruf werden msg.sender und msg.value beibehalten. Dies bedeutete, dass ich in der Lage sein sollte, mehrere Aufrufe von commitEth zu bündeln und meinen msg.value für jede Verpflichtung wiederzuverwenden, sodass ich kostenlos an der Auktion bieten kann.“

Der Fehler hätte dazu geführt, dass jede ETH, die über die Hardcap der Auktion gesendet wurde, zurückerstattet wurde.

Die Kernmitglieder des SushiSwap-Teams wurden sofort über die Schwachstelle informiert und sprangen mit samczsun „innerhalb von Minuten“ an, um den Fehler zu beheben. Das Team schloss – aus drei möglichen Lösungen – diese ab: Durch das Schreiben von Code zum Kauf der verbleibenden Zuteilung und den sofortigen Abschluss der Auktion (ein Schritt, der Administratorberechtigungen erforderte).

(Fußnote: Niederländische Auktionen sind eine Marktstruktur, bei der der Preis eines angebotenen Vermögenswerts nach Annahme aller Gebote bestimmt wird, um den höchsten Preis zu erzielen, zu dem das gesamte Angebot verkauft werden kann, während sich Stapelauktionen auf eine Ansammlung von ausgeführten Aufträgen beziehen gleichzeitig.)

Gefällt Ihnen, was Sie sehen? Abonnieren Sie Updates.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close