Сэм Сан, специалист кибербезопасности и партнер Paradigm, помог выявить и устранить уязвимость в DeFi-проекте SushiSwap, благодаря которой хакеры могли бы похитить свыше 109 000 ETH (~$350 млн на тот момент).
Эксперт изучал новую платформу для выпуска новых токенов и привлечения финансирования MISO от SushiSwap, на которой предлагается два типа аукционов — пакетный и голландский. Сан решил опробовать уязвимость, примененную хакерами в ходе атаки на DeFi-платформу Opyn, тогда злоумышленники вывели около $371 000 в криптовалюте. Как оказалось, данная уязвимость присутствует и на MISO, однако она намного серьезнее.
«Внезапно маленькая уязвимость стала намного больше. Я не имел дела с ошибкой, которая позволила бы перебивать ставки других участников. Я нашел баг на $350 млн», — написал исследователь.
Сэм Сан связался с командой SushiSwap и несколькими сторонними экспертами, после чего группа экстренно выработала три варианта решения – оставить уязвимость в надежде что про нее не узнают, вывести средства через эксплойт или завершить аукцион вручную. Группа пришла к решению завершить аукцион, однако им пришлось оставить активный пакетный аукцион на $8 млн., так как отсутствовала возможность принудительного завершения.
