本文来自Decrypt,原文作者:AndrewAsmakov
Odaily星球日报译者?|念银思唐
据报道,SushiSwap的Launchpad平台MISO遭到攻击,黑客窃取了864.8枚ETH,以当前价格计算价值超300万美元。
SushisSwap是全球最大的去中心化交易所之一,也是Uniswap的竞争对手。CoinCecko数据显示,截至发稿时,SushisSwap在过去24小时内的交易额超过4.95亿美元。
正如该项目官网所述,MISO是“一套开源智能合约,旨在简化在SushisSwap交易所上线新项目的过程。”
SushiSwap否认关于存在10亿美元合约漏洞的报道:9月23日消息,自称是白帽黑客的人声称发现了Sushiswap一个可能使价值超过10亿美元的用户资金受到威胁的漏洞。黑客表示“SushiSwap的两个合约MasterChefV2和MiniChefV2中的紧急提款功能存在漏洞”--这些合约管理着交易所的2倍奖励农场以及SushiSwap的非以太坊部署的资金池,如Polygon、Binance Smart Chain和Avalanche。黑客称,虽然emergencyWithdraw功能允许流动性提供者在发生紧急情况时立即赎回他们的LP代币,同时放弃奖励,但如果SushiSwap池内没有奖励,该功能将失败,从而迫使流动性提供者在大约10小时的过程中等待池子被手动重新填充,然后才可以提取他们的代币。
对此,SushiSwap的匿名开发者Gupta已在Twitter上否认了这种说法,他强调,所描述的威胁“不是一个漏洞”,“没有资金处于风险之中”。Gupta澄清说,“任何人”都可以在紧急情况下给奖赏池充值,从而绕过黑客声称的补充奖赏池所需的10小时多重签名过程的大部分。“黑客声称有人可以投入大量的LP来更快地耗尽奖励器是不正确的。如果你增加更多的LP,每LP的奖励会下降。”(Cointelegraph)[2021/9/23 17:01:26]
据SushiSwap的首席技术官JosephDelong称,MISO遭到了所谓的供应链攻击。一名匿名承包商在GitHub的Handler?AristoK3下向MISO平台前端注入了恶意代码,并用自己的钱包地址替换了拍卖的钱包地址。
SushiSwap上线Arbitrum并开启流动性挖矿奖励:SushiSwap发推称,已经上线Arbitrum并开启Arbitrum网络流动性挖矿奖励。用户为其AMM和杠杆借贷产品Kashi的ETH/USDC、ETH/USDT、ETH/WBTC、ETH/LINK、ETH/SUSHI交易对提供流动性可获得SUSHI奖励。[2021/9/1 22:52:44]
注:根据百度百科介绍,供应链攻击是一种面向软件开发人员和供应商的新兴威胁。目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。
此次受影响的是以汽车为主题的NFT项目JayPegsAutoMart的DONA代币。目前该漏洞已经修复。
Harvest Finance:若1INCH奖励终止 将把流动性迁移到Sushiswap:金色财经报道,Harvest Finance官方发推文称,如果确认1INCH奖励会被终止,将从ETH-DAI、ETH-USDC、ETH-USDT和ETH-WBTC将1INCH流动性迁移到相应的Sushiswap HODL保管库。迁移策略已部署并发布,迁移无需用户操作。[2021/3/9 18:26:37]
根据以太坊区块链浏览器Etherscan的数据,攻击发生在美国东部时间周四下午12:04,该公司已将Delong披露的黑客地址确定为涉及MISO攻击的地址。
这其实不是MISO第一次遇到类似的问题,但上一次是因为有“贵人相助”才得以幸免。
8月18日,区块链投资机构Paradigm研究合伙人、白帽黑客samczsun撰文披露BitDAO此前在SushiSwapMISO平台进行荷兰式拍卖的智能合约存在安全漏洞,多名白帽黑客联手从众筹资金池中拯救回10.9万枚ETH的经过。SushiSwap首席技术官JosephDelong随后发布漏洞分析,证实samczsun所报告的漏洞及白帽拯救行动,MISO平台上ETH众筹池中价值3.5亿美元的ETH现已安全。
samczsun称,这可能是最大的白帽拯救行动。此次白帽拯救行动导致BitDAO在MISO平台进行的荷兰拍中的ETH资金池提前结束,参与者可以提前领取BIT代币并在SushiSwap上进行交易。Paradigm研究团队成员、Immunefi团队成员和SushiSwap开发团队参与了本次行动。十天后,Delong发推称,SushiSwap向samczsun支付了100万USDC作为漏洞赏金。
当时的拍卖顺利结束,在此过程中筹集了3.65亿美元。值得一提的是,MISO要求BitDAO团队手动结束代币拍卖,以消除潜在威胁。
黑客身份是否锁定?
SushiSwap声称有理由相信该名黑客是Twitter用户@eratos1122,他“曾与Yearn.Finance合作并接触过许多其他项目。”
然而,Delong链接到的Twitter个人资料显示了不同的GitHub?Handler,而不是SushiSwap声称的AristoK3。
Delong补充说,SushiSwap寻求加密货币交易所FTX和币安共享攻击者的KYC信息,“但他们在这一时效性问题上予以抗拒。”
“我建议您测试自己的用户界面,以便尽早发现漏洞。”Delong说。
他还表示,如果被盗资金在美国东部时间周五上午8点之前仍未归还,他将指示该公司的律师StephenPalley向联邦调查局报案。
Gate.io已于2021年8月1日上线新版流动性池,今日BTC/USDT、DOGE/BTC、ETH/USDT流动性挖矿奖励池新增14日限时奖励,奖励最高可达52.
关于Gate.ioStartup免费空投计划为回馈平台用户,Gate.io上线“免费空投计划”,在Startup区不定期进行区块链项目的免费空投计划.
作者:区块链投资机构Paradigm研究合伙人DaveWhite1 概括 本文介绍了一种新的NFT原语:鞅股份,或“Mortys”。Mortys是代表NFT类别的部分所有权的合成物.
9月12日,知道创宇区块链安全实验室监测到Avalanche上的DeFi协议?ZabuFinance项目遭受闪电贷攻击。实验室第一时间跟踪本次事件并分析.
尊敬的用户:? 为更好的推动区块链社区的发展,我们将启动WBF KOL招募计划。诚意邀请热爱区块链、有资源、有精力、乐于奉献的社区群主、KOL、资深大V加入,与WBF一起打造一个高度自治的区块链.
Gate.io已于2021年8月1日上线新版流动性池,今日DOT/USDT,FIL/USDT,XRP/USDT流动性挖矿奖励池新增14日限时奖励,奖励最高可达5.
区块见闻