据白帽黑客 Samczsun在推特上发表的消息,一个使超过3.5亿美元的以太坊处于风险之中的SushiSwap漏洞已经被安全修补。
据白帽黑客 Samczsun在推特上发表的消息,一个使超过3.5亿美元的以太坊处于风险之中的SushiSwap漏洞已经被安全修补。
漏洞可能导致合约枯竭
当 Samczun 正在审查 DutchAuction 合约时,白黑客发现 InitMarket 和 InitAuction 函数缺乏访问控制。同时Samczun 也验证了initAccessControls 函数合约尚未初始化的问题。该安全漏洞涉及SushiSwap的MISO平台,开发人员可以使用MISO来推出新的代币,类似于ICO。
在另一篇博文中,Samczsun表示,他偶然在该平台上看到了关于一个加价的讨论。从那里,他决定在Etherscan上检查项目的代码。
Samczsun注意到MISO的一个批处理库中存在一个漏洞。本质上,这个漏洞错误地处理了失败的交易。合约没有拒绝超过拍卖硬上限的交易,而是将交易退还给用户。这可能允许攻击者从SushiSwap中抽取资金,达到每个拍卖的硬上限。相比之下,这个漏洞与导致在DEFI期权交易平台Opyn一个黑客去年。在那次攻击中,黑客偷走了 371,000 美元的USDC。
Samczsun和 SushiSwap 团队试图通过使用闪贷购买分配的资金,完成拍卖,然后用拍卖的资金偿还闪贷来修补漏洞。
由于存在以不同方式工作且不易受到漏洞利用的并发批量拍卖,该计划变得更加复杂。这次拍卖的规模要小得多,只有 800 万美元,因此团队决定通过修复来挽救有风险的拍卖中的 3.5 亿美元。
Samczsun指出,即使有人因我们被迫停止荷兰式拍卖而被告知并在批量拍卖中发现了漏洞,我们仍然会节省大部分资金。该团队找到了一种暂停批量拍卖的方法,然后继续从有风险的拍卖中收回资金。
免责声明:
本文观点仅代表作者个人观点,不构成本平台的投资建议,本平台不对文章信息准确性、完整性和及时性作出任何保证,亦不对因使用或信赖文章信息引发的任何损失承担责任
个人如何布局元宇宙_元宇宙在未来的发展趋势如何值得普通人去投资吗
神豪比特币_9年涨了1300万倍中国“比特币”首富李笑来如今怎样了
美原油怎么看主力合约_美原油主力合约
停滞、泡沫、危机、突破?
加密货币市场市值上涨,为什么大多数币还是表现不佳?
贝莱德:比特币已不是单纯的风险资产
白话区块链早报:CryptoQuant:超92%的比特币交易所资金流入来自短期持有者
Yat Siu:目前加密货币行业正进入机构时代
区块链信息保护关键技术_描述区块链中隐私保护的重要性
相关分析师表示,在美国可能降息的情况下,DeFi 收益率将回升
0.00