白帽黑客通过发现“明显”漏洞可能为 SushiSwap 节省 3.5 亿美元

最近，由于白帽黑客的帮助，SushiSwap去中心化交易所勉强避免成为最新的去中心化金融黑客受害者。

来自风险投资公司Paradigm的安全研究员，在Twitter上被称为Samczsun，他设法使SushiSwap及其Miso平台免于可能损失多达109,000以太币(ETH)的风险。

在周二发表的一篇博客文章中，这位程序员描述了他如何开始检查SushiSwap的代币启动平台Miso上BitDAO代币销售的智能合约代码。

经过仔细检查，他发现MisoDutch拍卖合同中存在一个缺陷，即某些功能缺乏访问控制。

“不过，我真的没想到这是一个漏洞，因为我没想到Sushi团队会犯下如此明显的失误。”

经过深入调查，白帽黑客发现了一个漏洞，如果被利用，可能会导致代币拍卖合约中的所有加密资产被恶意行为者耗尽。攻击者可以一遍又一遍地重复使用相同的ETH来批处理对合约的多次调用并“在拍卖中免费出价”。

Samczsun在联系同事GeorgiosKonstantopoulos和DanRobinson以查看并仔细检查发现之前，已成功利用漏洞测试了该漏洞。他还发现，黑客可以通过发送比拍卖硬顶更高数量的ETH来触发退款，从而从合同中窃取资金。

“突然间，我的小弱点变得更大了。我不是在处理一个让你出价超过其他参与者的错误。我在看一个价值3.5亿美元的漏洞。”

是时候联系SushiSwap首席技术官JosephDelong制定救援计划，然后才能在野外发现该漏洞。决定持有代币销售的BitDAO团队将通过购买剩余的分配并立即完成流程并拯救资金来手动结束拍卖。

SushiSwap指出，在打捞工作中没有损失任何资金，并补充说它将暂停使用其MisoDutch拍卖格式，直到可以更新智能合约。加密社区成员DCinvestor评论道：“每个人都知道Paradigm有很大的UNI/Uniswap包，但他们团队的Sam只是帮助SushiSwap（一个表面上的竞争对手）免于一个严重的错误。这就是最佳演员之间的空间精神。”

根据该协议周二发布的一条推文，BitDAO代币销售顺利进行，从9,200多名参与者那里筹集了超过112,000个ETH，价值约3.36亿美元。