Спустя неделю после того, как Poly Network подверглась атаке на $600 млн, еще один крупный проект DeFi едва не постигла та же участь. Речь идет о децентрализованной бирже (DEX) SushiSwap, которой удалось избежать потери ETH на $365 млн благодаря «белому хакеру».
Согласно статье в блоге венчурной компании Paradigm, партнер фирмы по исследованиям samczsun начал изучать код смарт-контракта для продажи токенов BitDAO на платформе MISO SushiSwap – «стартовой площадке» для новых токенов. Размещение токенов прошло без проблем и собрало $365 млн.
Однако исследователь samczsun сообщил, что обнаружил потенциальные проблемы со смарт-контрактом. Дальнейшие эксперименты выявили уязвимость, которая могла привести к краже всех ETH из контракта.
«Маленькая уязвимость оказалась гораздо крупнее. Я не просто столкнулся с ошибкой, которая позволила бы перебивать ставки других участников. Это была уязвимость на $365 млн», – написал samczsun.
Он рассказал об уязвимости коллегам по Paradigm Георгиосу Константопулосу (Georgios Konstantopoulos) и Дэну Робинсону (Dan Robinson), чтобы перепроверить свою гипотезу. Они быстро связались с командой SushiSwap, чтобы обсудить возможные решения.
После обсуждения между Paradigm, SushiSwap и представителями платформы по выявлению ошибок Immunefi, они пришли к решению: проводящая продажу токенов команда BitDAO вручную завершит аукцион, чтобы нейтрализовать потенциальную угрозу.
Команда SushiSwap поделилась дополнительной информацией об обнаруженной уязвимости и отметила, что деньги не были потеряны. Децентрализованная биржа приостановит работу аукциона MISO до тех пор, пока смарт-контракт не будет обновлен.