Хакер предотвратил похищение 350 миллионов долларов у Sushiswap
Хакеры способны не только похищать средства, но и сохранять их, хотя это скорее исключение из правил. И тем не менее, есть и такие персонажи. Один из них, Samczsun, сообщил в своем посте, что смог найти и исправить уязвимость, угрожающую более чем 350 миллионам долларов или 109 000 ETH из контракта на базе Sushiswap с его платформой MISO.
Платформа использует 2 вида аукционов: канальные, пакетные. При просмотре контрактов, хакер выяснил, что у функций InitMarket и InitAuction контроль доступа недостаточно защищен. По словам хакера, он не ожидал того, что команда разработчиков допустит такую простую ошибку.
Samczsun смог определить, что SushiSwap подвергается большой опасности. Если бы кто-то смог найти уязвимость, тогда он смог бы использовать фиксированное число ETH для пакетной обработки нескольких контрактов. Это позволило бы злоумышленнику не только делать бесплатные ставки на аукционах, но позволило бы ему украсть средства по контракту SushiSwap, вызвав возврат.
Как только хакер обнаружил уязвимость, он тут же сообщил об этом техническому директору SushiSwap Джозефу Делонгу. Тот привлек команду разработчиков для проверки, и действительно выяснилось, что ошибка присутствует. Она была оперативно устранена.
Фактически, Samczsun спас SushiSwap от потери сотен миллионов долларов и потери репутации. Если бы этого не произошло, в любой момент кто-то из киберпреступников смог бы похитить сотни тысяч ETH. Компании пришлось бы потом объяснять своим клиентам, как она допустила такую грубую ошибку в протоколе.
Такое действие хакера является исключением из правил. В 99 процентах случаев кибермошенники пользуются программными ошибками инфраструктуры бирж и протоколов, похищая огромные суммы средств.
Эта ситуация еще раз доказывает, что во многом во взломах виноваты сами клиенты или разработчики протоколов. Если они допускают такие явные и грубые просчеты, то какой смысл потом винить хакеров в том, что они похищают их средства? Они просто забирают то, что плохо лежит, не более.
Если бы разработчики уделяли больше внимания безопасности, а не только маркетингу и рекламе проектов, тогда возможно и количество взломов было бы крайне невелико. А пока киберпреступники вовсю пользуются элементарной халатностью создателей платформ и забирают себе средства клиентов.
Тем же остается уповать на то, что брешь не заметят или какой-нибудь добрый хакер, сообщит о том, что нашел уязвимость.
Подписывайтесь на Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman
Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News