Onderzoeker “samczsun” van cryptocurrency investeringsbedrijf Paradigm heeft samen met enkele community leden wellicht een enorme diefstal in de decentralized finance (DeFi) sector voorkomen.
Just pulled off maybe the biggest whitehat rescue ever. Story time soon 🔥
— samczsun (@samczsun) August 17, 2021
De onderzoeker vond namelijk een fout in het Miso platform van SushiSwap, een decentrale cryptocurrency-exchange (DEX), op Ethereum (ETH). Een fout die wellicht drastische gevolgen had kunnen hebben.
Samczsun kwam een kwetsbaarheid tegen in de zogenaamde ‘Dutch auction,’ oftewel veiling bij afslag, contract op Miso tegen. Bij dit soort veilingen bieden investeerders het maximale bedrag dat zij bereid zijn in te willen zetten. Uiteindelijk wordt het hoogste bod de winnaar verklaard, terwijl de rest hun geld terugkrijgt.
Mensen zouden via deze kwetsbaarheid misbruik van het systeem kunnen maken waardoor ze in principe gratis konden bieden. Toen kwam de onderzoeker er echter achter dat de fout nog veel grotere gevolgen kon hebben. Niet alleen konden gebruikers overbieden, ze konden het verschil tussen het huidige bod en het bedrag dat zij indiende, terug uit laten betalen. Met genoeg herhaling kon iemand potentieel het hele contract leegroven.
“Plots werd mijn kleine kwetsbaarheid een stuk groter. Ik had niet te maken met een bug waardoor je andere deelnemers zou overbieden. Ik keek naar een bug van 350 miljoen dollar.”
Aldus de onderzoeker, die vervolgens contact op nam met Sushi. De ontdekking van de fout heeft wellicht een diefstal van maar liefst 109.000 ETH, ter waarde van zo’n $350 miljoen, voorkomen. Sushi meldt dat alle veilingen die dit soort contracten gebruiken voorlopig zijn opgeschort.
Onlangs vond de grootste diefstal in DeFi plaats toen een hacker maar liefst $611 miljoen had gestolen van Poly Network. Inmiddels heeft hij het meeste teruggestuurd, echter zit Poly nog steeds op de laatste sleutels te wachten.
De hacker sloeg eerder een beloning van maar liefst $500.000 af, maar Poly zegt dat de beloning nog steeds staat en biedt hem zelfs een functie als chief security advisor aan:
#PolyNetwork has no intention of holding #mrwhitehat legally responsible and cordially invites him to be our Chief Security Advisor. $500,000 bounty is on the way. Whatever #mrwhitehat chooses to do with the bounty in the end, we have no objections. https://t.co/4IaZvyWRGz
— Poly Network (@PolyNetwork2) August 17, 2021