Una semana después de que Poly Network sufriera un ataque de 600 millones de dólares (la mayoría de los activos han sido devueltos desde entonces), las criptomonedas podrían haberse visto sacudidas por otro enorme hackeo, esta vez en la popular plataforma de intercambio descentralizado (DEX) de Ethereum, SushiSwap. Sin embargo, la DEX logró evitar el costoso dilema gracias a la ayuda de un hacker de sombrero blanco.
En un post publicado hoy, samczsun -socio de investigación de la empresa de capital riesgo centrada en las criptomonedas Paradigm- explicó cómo empezó a examinar ayer el código del contrato inteligente para la venta de tokens BitDAO en la plataforma MISO de SushiSwap, una "plataforma de lanzamiento" para nuevos tokens. Esa venta finalmente se llevó a cabo sin problemas, recaudando 365 millones de dólares en el proceso, pero todo podría haber salido muy mal.
Un contrato inteligente es un trozo de código que ejecuta instrucciones establecidas, y es la columna vertebral de las aplicaciones descentralizadas basadas en blockchain (dapps), incluidos los protocolos de finanzas descentralizadas (DeFi) que permiten a las personas prestar, pedir prestado o comerciar sin intermediarios financieros. Sin embargo, en este caso, Samczsun dice que detectó posibles problemas con el contrato inteligente. La experimentación posterior reveló una vulnerabilidad que podría llevar a que un atacante vaciara todo el ETH del contrato de subasta de tokens.
"Mi pequeña vulnerabilidad se hizo mucho más grande", escribió, después de descubrir que las fallas iniciales eran parte de un exploit potencialmente mucho más grande. "No estaba tratando con un fallo que te permitiera superar la oferta de otros participantes. Estaba ante un fallo de 350 millones de dólares".
Según su post, samczsun recurrió a sus colegas de Paradigm, Georgios Konstantopoulos y Dan Robinson, para comprobar su hipótesis. Rápidamente se pusieron en contacto con el equipo de SushiSwap para discutir posibles soluciones. Finalmente, tras una discusión entre Paradigm, SushiSwap y los representantes de la plataforma de recompensas por errores Immunefi, llegaron a una decisión: el equipo de BitDAO que realizaba la venta de tokens finalizaría manualmente la subasta de tokens para neutralizar la posible amenaza.
El equipo de SushiSwap compartió información adicional sobre el exploit descubierto, señalando que no se perdieron fondos y que no es necesaria ninguna acción por parte del usuario como resultado. SushiSwap pausará el uso de su formato de subasta holandesa MISO hasta que el contrato inteligente pueda ser actualizado.
SushiSwap es uno de los intercambios descentralizados más populares, con más de 444 millones de dólares en volumen de operaciones en las últimas 24 horas según CoinGecko. Los usuarios pueden ganar recompensas colocando una serie de tokens basados en Ethereumen grupos de liquidez, que se utilizan para facilitar las operaciones sin necesidad de conectar directamente a los compradores con los vendedores.
Comenzó en 2020 como una imitación de Uniswap, el principal DEX, pero se distinguió por el uso de un token de gobernanza nativo, SUSHI, un enfoque que Uniswap pronto adoptó. SushiSwap ha seguido diversificando su oferta de funciones DeFi, incluso con el lanzamiento de la plataforma de venta de tokens MISO. Veremos si la revelación de hoy de un exploit que se ha evitado por poco lleva a una expansión más cautelosa para la bolsa.