• Igor Pauer

Sushiswap DeFi hack v hodnotě 786.000.000$


V průběhu včerejšího dne došlo k dalšímu významnému hacku v oblasti DeFi a to MISO protokolu SushiSwap. Shodou okolností se jedná o projekt, na jehož potencionálně horší zabezpečení upozorňuji již delší dobu.


Hacker dosáhl přístupu k 190.000 ETH v hodnotě 786.000.000$ pomocí využití kritické chyby při "holandských dražbách" na MISO platformě SushiSwapu.


Decentralizovaná burza SushiSwap se těsně vyhnula tomu, že se nestane nejnovější obětí hackingu decentralizovaných financí.


White hat hacker


Díky opravdu šťastné náhodě se jednalo o "white hat" hackera (= bílý klobouk - tj. "hodný hacker") s pseudonymem "samczsun“, který chybu, namísto toho, aby prostředky ukradl, reportoval CTO SushiSwapu Josephovi Delongovi.


Jelikož chyba byla v běžícím smart kontraktu, který z principu není možné vypnout ani ovlivnit – což samo o sobě dokazuje vynikající principy decentralizace, na kterých blockchain a krypto běží, team BitDAO, pod který projekt spadá, zastavil aukci manuálním vybidovaním všech zbývajících tokenů, čímž efektivně aukci ukončil.


Po technické stránce chyba principem trochu připomínala "double spend attack" - nejznámější vektor útoku na BTC – kde bylo možné s tím samým ETH nekonečně mnoho krát bidovat a tím efektivně "odsát" všechny finance uložené v daném smart kontraktu.


SushiSwap


SushiSwap je "smart kontraktová" decentralizovaná burza nad Ethereem, která vznikla v srpnu 2020 jako DeFi protokol a hard-fork Uniswap v2.


SushiSwap sám o sobě má kontroverzní minulost. Jeho developeři se snažili tajně znefunkčnit konkurenční Uniswap a jeho tvůrce Chef Nomi se pokusil hned v začátku fungovaní burzy o exit scam a ukradl 38.000 ETH (tehdejší hodnota 14.000.000$), které nakonec vrátil až na nátlak krypto komunity. V kuloárech se spekuluje, že sumu vrátil až poté, co ho někteří významní členové krypto komunity, kteří projekt podpořili a jeho scamem by jejich reputace velmi utrpěla, upozornili, že když ukradnuté prostředky nevrátí, vypíšou odměnu na jeho hlavu. Prostředky byli vrácené (adresa: https://etherscan.io/address/0xf73b31c07e3f8ea8f7c59ac58ed1f878708c8a76 ) s omluvou: “To everyone. I fucked up. And I am sorry...”