Per un pelo l’exchange decentralizzato SushiSwap non è diventato l’ultima vittima di un attacco informatico grazie all’intervento di un hacker white hat.
Un ricercatore della compagnia di venture capital Paradigm noto su Twitter come “samczsun” è riuscito a mettere al sicuro SushiSwap e la sua piattaforma MISO da una potenziale perdita di 109.000 ETH.
In un post del blog pubblicato il 17 agosto, il programmatore ha spiegato in che modo ha iniziato a esaminare il codice dello smart contract per la vendita dei token di BitDAO sulla piattaforma MISO che SushiSwap dedica al lancio di token.
Con un’indagine più approfondita ha trovato un bug nel sistema del contratto con asta olandese, al ribasso, di MISO in cui alcune funzioni non hanno controlli d’accesso. Ha commentato: “I didn’t really expect this to be a vulnerability though, since I didn’t expect the Sushi team to make such an obvious misstep”.
Dopo un’ulteriore indagine, il white hat ha scoperto una vulnerabilità che, se sfruttata, avrebbe permesso ai malintenzionati di sottrarre tutti i fondi stanziati nel contratto per l’asta dei token. Un ladro avrebbe potuto usare lo stesso ETH all’infinito per rispondere a varie calls del contratto e “bid in the auction for free”.
Samczsun ha testato la vulnerabilità con buoni risultati prima di contattare i colleghi Georgios Konstantopoulos e Dan Robinson per chiedere di verificare quanto scoperto. Inoltre, un hacker avrebbe potuto rubare i fondi dal contratto richiedendo un rimborso inviando un importo maggiore di ETH rispetto al limite fissato dall’asta.
“Suddenly, my little vulnerability just got a lot bigger. I wasn’t dealing with a bug that would let you outbid other participants. I was looking at a 350 million dollar bug”.
Quindi è stato contattato il CTO di SushiSwap Joseph Delong per porre rimedio alla situazione. Il team di BitDAO che gestiva la vendita dei token avrebbe interrotto l’asta manualmente acquistando le posizioni ancora aperte e quindi finalizzare il processo e restituire i fondi stanziati fino a quel momento.
In una nota, SushiSwap ha fatto sapere che non c’è stata alcuna perdita e che il modello di asta al ribasso sulla piattaforma MISO verrà sospeso temporaneamente.