جلوگیری از هک 350 میلیون دلاری SushiSwap ،توسط توسعه دهنده ناشناس!

کارشناس امنیتی یک شرکت VC معروف پارادایم (Paradigm) که با نام samczsun در توئیتر فعالیت میکند، نحوه شناسایی و گزارش یکی از مهمترین اشکالات در تاریخ بخش دیفای اتریوم (Ethereum DeFi) را به اشتراک گذاشته است.

با توجه به داستان هیجان انگیزی که توسط samczsun در وب سایت رسمی پارادایم به اشتراک گذاشته شد، او متوجه بحثی در تلگرام بین توسعه دهندگان اتریوم (ETH) درباره MISO ، یک ابزار فروش رمزارز با محوریت سوشی سوآپ (SushiSwap)، شده است.

هکر کلاه سفید(white-hat hacker) شروع به بررسی معماری پروژه کرد و متوجه دو عملکرد بدون کنترل دسترسی و یک عملکرد که به درستی راه اندازی نشده بود، شد.

اما بعداً، او اشکالات حساس تری پیدا کرد: به دلیل نقص در طراحی MISO Dutch Auction ، کلاهبرداران فرضی قادر بودند تمام نقدینگی را از قرارداد 350 میلیون دلاری، برداشت کنند.

این کارشناس اعتراف کرد که این آسیب پذیری، مشابه نقصی است که در قراردادهای Opyn DeFi تشخیص داده شد که در اوایل آگوست 2020 (مرداد 1399)، تقریباً 370,000 کوین USDC ، برداشت شد.

اگر نتیجه خوب باشد، مشکلات قبل جبران خواهد شد

برای بررسی مجدد یافته های خود، آقای سامچسون(Mr. Samczsun) با همکاران خود جورجیوس کنستانتوپولوس (Georgios Konstantopoulos) ، دن رابینسون (Dan Robinson) و مدیر ارشد فناوری سوشی سوآپ (SUSHI)، جوزف دلونگ (Joseph Delong) ، ارتباط برقرار کرد.

توسعه دهندگان تصمیم گرفتند با تیم پشتیبان حراج (BitDAO) تماس بگیرند و به آنها پیشنهاد دهند که با خرید تمام رمزارزهای موجود، حراج را به صورت دستی نهایی کنند.

در نتیجه، تمام وجوه در پنج ساعت پس انداز شد. آقای سامچسون نتیجه گرفت که استفاده از اجزای “ایمن” لزوماً ایمنی کل سیستم را تضمین نمی کند.

همانطور که قبلاً توسط U.Today گزارش شده بود، هکر کلاه سفید Poly Network در حال برگرداندن وجوه به قربانیان خود است. همچنین تیم Poly Network، نقش مشاور امنیت اصلی(Chief Security Advisor) را به همراه 0.5 میلیون دلار هدیه به آنها پیشنهاد کرد.

این مطلب صرفا ترجمه از منبع ذکر شده بوده و مسئولیت آن با آکادمی هلاکوئی نمی باشد.

منبع: u.today