Imagem da matéria: 'Hacker do bem' encontra bug crítico que daria prejuízo de R$ 1,8 bilhão à SushiSwap
Foto: Shutterstock

Um bug crítico que poderia gerar um prejuízo de R$ 1,8 bilhão à exchange descentralizada SushiSwap foi identificado e resolvido em cinco horas por um white hat, como são conhecidos os hackers do bem.

Samczsun, especialista de segurança da Paradigm, encontrou a falha em um contrato da MISU, a plataforma de arrecadação de fundos da SushiSwap. Ele relatou o caso no blog da empresa na terça-feira (17).

Publicidade

O projeto confirmou que o bug permitiria que qualquer sujeito mal-intencionado drenasse todos os fundos confiados no contrato. Naquela ocasião, havia 109 mil Ethereum (ETH) no código, o equivalente a cerca de US$ 350 milhões (R$ 1,8 bilhão).

Descoberto por acaso

Samczsun disse que foi analisar o código mais por curiosidade do que pela expectativa de encontrar uma vulnerabilidade. “Não esperava que a equipe do Sushi cometeria um erro tão óbvio”, escreveu.

O bug foi encontrado no contrato inteligente de um ‘leilão holandês’ de tokens BitDAO (BIT) que estava acontecendo na plataforma MISO.

Nesse tipo de oferta pública, um investidor faz um lance com o valor máximo que está disposto a pagar pela moeda. Quando o lance mais alto ganha a oferta, todos os tokens oferecidos nos lances perdedores voltam para os detentores.

Publicidade

De forma geral, era o mecanismo de reembolso do contrato que possuía um erro que dava brecha para que os usuários tivessem um reembolso maior do que o lance oferecido. O problema é que o bug poderia ser explorado repetidas vezes até que todos os fundos fossem drenados.

Ao encontrar a falha, Samczsun chamou Georgios Konstantopoulos e Daniel Robinson, seus colegas da Paradigm, para resolver o problema e contatar a equipe da SushiSwap.

Encerramento do leilão

A SushiSwap decidiu encerrar manualmente o leilão de tokens para que nenhum dinheiro fosse perdido, bem como interromper temporariamente o uso do leilão holandês na MISO para que o contrato inteligente seja reformulado com mais segurança. 

“A vulnerabilidade potencial gira em torno da função commitETH no leilão holandês Miso. Combinar lote com commitETH cria um problema duplo em que um usuário pode colocar um lance maior do que msg.value, drenando assim todos os tokens não vendidos e, adicionalmente, drenando os fundos arrecadados no contrato como reembolso”, explicou o projeto.

Publicidade

Não está claro se os desenvolvedores que encontraram o bug receberam uma recompensa. De acordo o Immunefi, uma plataforma de segurança que divulga programas de Bug Bounty, o SushiSwap oferece atualmente um bônus de até US$ 1,2 milhão para quem encontrar um bug crítico em seus contratos inteligentes. 

Esse caso vem à tona apenas uma semana depois que um invasor roubou US$ 611 milhões da Poly Network e devolveu todos os fundos posteriormente, naquele que foi o maior hack da história do meio DeFi.

VOCÊ PODE GOSTAR
Imagem da matéria: Manhã Cripto: Bitcoin flerta com US$ 92 mil em dia de estreia de opções do ETF da BlackRock

Manhã Cripto: Bitcoin flerta com US$ 92 mil em dia de estreia de opções do ETF da BlackRock

A Nasdaq deve liberar nesta terça-feira a negociação de opções do ETF de Bitcoin da BlackRock
Imagem da matéria: Beefund: Exchange remove Beeb 2.0 e assume que projeto “prejudica” usuários

Beefund: Exchange remove Beeb 2.0 e assume que projeto “prejudica” usuários

“Para proteger os direitos dos usuários, decidimos não oferecer mais suporte ao token BEEB e colocá-lo sob observação”, disse a SuperEx
Imagem da matéria: Como ativistas de 3 países diferentes usam Bitcoin para resistir a regimes autoritários

Como ativistas de 3 países diferentes usam Bitcoin para resistir a regimes autoritários

Ativistas de China, Venezuela e Bolívia falam sobre o papel do Bitcoin em suas lutas contra os governos autoritários
criptomoedas saindo de tela de celular

Além do Bitcoin: Ethereum, Solana e mais 3 criptomoedas que bateram recordes de preço

Com o Bitcoin batendo todos os recordes com sua alta acima dos 30% no mês e chegando a US$ 82 mil, muitas altcoins também estão subindo