SushiSwap 的去中心化代幣發行平台 MISO 上的 DONA 代幣拍賣今日驚傳遭到駭客攻擊。SushiSwap 技術長德隆(Joseph Delong)表示,攻擊者向 MISO 前端置入了惡意程式碼,將拍賣錢包地址更改為自己的錢包地址,損失達到 864.8 顆以太幣(ETH),相當於超過 300 萬美元。
(前情提要:全解析 | 不可不知的 3種「Defi重入攻擊」: 基本概念、背後細節、手法 — Amber資安負責人)
SushiSwap 技術長德隆(Joseph Delong)今日中午在推特上分享 Etherscan 數據表示, MISO 平台上 Jay Pegs Auto Mart 項目的 DONA 代幣拍賣遭遇供應鏈攻擊(Supply chain attack),攻擊者在 MISO 前端置入了惡意程式碼,將拍賣錢包地址改成自己的錢包地址,導致募資項目 Jay Pegs Auto Mart 的 864.8 顆以太幣被盜。
The only exploited auction was the @JayPegsAutoMart auction. The attacker inserted their own wallet address to replace the auctionWallet at the auction creation.
Effected auctions have all been patched.
— Joseph 🤝 Delong 🔱 (@josephdelong) September 17, 2021
德隆表示,該漏洞已被修復,並已請求 FTX 、幣安(Binance)協助提供攻擊者的 KYC 資訊,但這兩大加密貨幣交易所皆微婉拒絕。他進一步警告,此攻擊者曾和 Yearn 共事過,並接觸過其他很多項,目呼籲相關項目檢查自身前端是否存在漏洞。
德隆分享了許多證據,認為推特用戶 0x A.K. 正是發動此次攻擊的駭客。德隆並發出最後通牒,強調如果在美東時間 17 日早上 8 時(台北時間今晚 8 時)前未歸還資金,SushiSwap 方面已指示律師,將向美國聯邦調查局(FBI)報案。
至截稿前,德隆在推特上的最後一則推文是:
到目前為止,這絕對是我生命中最艱難的一天,關閉通知、上床睡覺了。好累。
Was definitely the hardest day of my life so far, turning off notifications and headed to bed. exhausted.
— Joseph 🤝 Delong 🔱 (@josephdelong) September 17, 2021
受害項目回應
受害項目 Jay Pegs Auto Mart 在推特上表示,用戶仍將收到此前承諾發放的 2007 KIA Sedona 車款 NFT ,且代幣交易仍將按計劃在 9 月 21 日啟動。
Hey folks. Everyone will still receive their 2007 Kia Sedona NFTs, and the exchange is still scheduled to begin on 9/21/2021. https://t.co/oYgqyHY8Jp
— Jay Pegs Auto Mart (@jaypegsautomart) September 17, 2021
事實上,這並非 MISO 首度被駭客盯上。今年 8 月,加密貨幣衍生品交易所 Bybit 發起的去中心化自治組織 BitDAO ,在 MISO 上啟動 BIT 代幣的荷蘭式拍賣,因存在智能合約漏洞,險些遭遇攻擊。
幸虧在風投機構 Paradigm 研究員 Samczsun 及多名白帽駭客的聯手處理下,一場涉及當時價值 3.5 億美元資金的潛在攻擊行動被成功提前阻止。
📍相關報導📍
全解析 | 不可不知的 3種「Defi重入攻擊」: 基本概念、背後細節、手法 — Amber資安負責人
台灣Defi | Cream Finance再遭閃電貸駭客攻擊,損失1,800萬美元的 ETH, AMP
5小時拯救3.5億美元!Sushi MISO現漏洞,白帽駭客保住BitDAO籌得資金
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務