Um grupo de pessoas na comunidade de criptografia, liderado pelo parceiro de pesquisa da Paradigm, empresa de investimentos em criptografia Sam Sun, pode ter acabado de evitar que a plataforma de arrecadação de fundos simbólica da SushiSwap, Miso, perdesse mais de US $ 350 milhões em éter, depois de descobrir e corrigir um bug na plataforma em apenas cinco horas.
Por causa dos esforços coletivos, SushiSwap diz que nenhum dinheiro foi perdido.
De acordo com um publicar publicado pela SushiSwap na segunda-feira, Sam Sun e seus colegas Georgios Konstantopoulos e Daniel Robinson – todos da firma de investimento em criptografia Paradigm, sediada em San Francisco – entraram em contato com a equipe do Sushi para alertá-los sobre “uma vulnerabilidade” no “leilão holandês” contrato na plataforma Miso.
Em um leilão holandês, os investidores colocam lances refletindo o valor máximo que estão dispostos a pagar. Uma vez que os lances são coletados, o lance mais alto é declarado o vencedor. Depois que o leilão é finalizado, os lances malsucedidos são devolvidos aos seus proprietários.
A vulnerabilidade
A equipe SushiSwap e Sol do Paradigma, em postagens separadas, ambos identificaram que, essencialmente, a vulnerabilidade estava centrada na capacidade de agrupar várias chamadas para commitEth e reutilizar um único msg.value em cada compromisso, permitindo que um invasor licite no leilão de graça.
“Combinar lote com commitEth (uma função no leilão holandês Miso) cria um problema duplo em que um usuário pode tanto colocar um compromisso maior do que ‘msg.value’, drenando assim quaisquer tokens não vendidos e, adicionalmente, drenando os fundos levantados no contrato como reembolsos se o leilão atingir o compromisso máximo ”, escreveu a equipe do SushiSwap no post.
“O bug foi criado quando uma função de conveniência para endereços de carteira interagiu com o mecanismo de reembolso do contrato de leilão”, explicou Duncan Townsend, CTO da Immunefi, uma plataforma de recompensa de bug para finanças descentralizadas (DeFi) que também foi recrutada para ajudar a resolver o problema .
“Os usuários poderiam dar lances excessivos e obter o reembolso da diferença entre o lance atual e o valor que enviaram, mas o reembolso poderia ser repetido para drenar o contrato do leilão”, acrescentou Townsend.
“Todos os futuros leilões planejados utilizando os contratos de leilão holandeses específicos com compromissos ETH foram pausados até que uma versão atualizada seja reimplantada”, escreveu a equipe do SushiSwap.
Conclusão: contratos inteligentes são difíceis
Na conclusão de sua postagem no blog, Sun refletiu que uma das lições mais importantes a serem aprendidas com essa descoberta é que mesmo “componentes seguros podem se unir para tornar algo inseguro”.
Os contratos inteligentes que sustentam o DeFi são complexos, combinando “blocos de Lego” “composíveis” para criar novos contratos e protocolos. Mas a maneira como esses blocos são combinados pode ter consequências inadvertidas e desastrosas, mesmo quando os programadores estão usando componentes individuais inerentemente seguros. “Este incidente mostra que mesmo os componentes de nível de contrato seguro podem ser misturados de uma forma que produz comportamento de nível de contrato inseguro. Não há conselhos gerais a serem aplicados aqui, como ‘efeito de verificação-interação’, então você só precisa estar ciente de quais interações adicionais os novos componentes estão introduzindo ”, disse Sun.
O evento aconteceu logo após o maior exploit DeFi até agora ter ocorrido na semana passada: Cross-chain DeFi site Poly Network foi atacado, perdendo mais de $ 600 milhões em criptomoedas, devido a um bug.
No caso da vulnerabilidade SushiSwap, no entanto, muitos na comunidade criptográfica recorreram às redes sociais para elogiar os esforços de resgate coletivo de cinco horas liderados pelo braço de pesquisa da Paradigm.
“Chad af”, escreveu o usuário do Twitter @KadenZipfel (um “chad” geralmente se refere a um “macho alfa” na linguagem comum da gíria da internet).
“Absolute King”, outro usuário do Twitter, @BanhbaoCrypto, escrevi. “O super-herói Defi de que todos nós precisamos, mas não merecemos!”
Saiba mais do Robô IQ OPTION de AUTOMATIZAÇÃO
Veja também sobre o Melhor Bot Opções Binárias 2021
E que tal um bot grátis de IQ Option? Sistema Automático de Opções Binárias