SUSHISWAP A SALVO - 0XMAKI HABLA

Salir del sartén y caer al fuego.

El desarrollador anónimo 0xMaki se encargó del desarrollo principal de SushiSwap después de que el fundador Chef Nomi dejó que la ambición lo venciera.

Después del final del verano DeFi y la caída de la food farm, muchos suponían a SushiSwap muerto y olvidado. Sin embargo, sus desarrolladores nunca dejaron de trabajar, y SushiSwap recién está de vuelta con un menú nuevo.

いらっしゃいませ!!!

Sin embargo, no ha sido todo fácil en el bar Omakase.

Muy tarde anoche, un actor anónimo hizo un agujero en sus smart contracts y robó ~$15k antes de que el equipo de chefs Sushi lo corrieran de la cocina.

rekt contactó a 0xMaki para escuchar su versión de la historia.

0xMaki:

Desde el reporte de Nansen, yo había estado atendiendo el Sushibar por mi mismo para mitigar las oportunidades de arbitraje. Había visto algunas pequeñas transacciones extrañas, pero suponía que nada malo estaba pasando dado que el bar todavía funcionaba bien.

La primera micro-tx llegó tal vez hace 2-3 días, pero ayer se volvió automatizado y de “nivel industrial”, por así decirlo.

Aquí está la primera mención de un problema con el Sushibar. (Discord)

Monstar:

@0xMaki 源 義経 ¿que está pasando con el sushibar? todo tipo de transacciones raras ahí dentro y parece que los que están staking el bar no están recibiendo el sushi

TX 1

TX 2

TX 3

0xMaki 源 義経 respondió a Monstar

está funcionando como fue planeado es nada más una cantidad muy muy muy pequeña desde lo que entiendo

parece una tx perdida al verla.

Monstar:

No creo que eso es correcto

porque la cantidad en el bar disponible para reclamar bajó significativamente de esas transacciones

parece que están reclamando los tokens LP ellos mismos (no estoy seguro cómo es posible) en lugar de reclamar el sushi como debe de ser

entonces no se está convirtiendo a sushi y recompensando a los stakers

0xMaki 源 義経:

lo estoy viendo con alguien ahora mismo

quizás es solamente boring app que se está comportando raro

Monstar:

creo que la gente ha descubierto una manera de circunvalar boring app(editado)

y no compartir el sushi con todos en el bar

pero no se como replicar lo que estan haciendo asi que no lo puedo probar

si, definitivamente están haciendo eso

https://etherscan.io/tx/0x7c6af5ca27ceb04aad514ddcaee8afc6dd4eb79d0816e24b007e7db205e93ce3

https://etherscan.io/address/0x1925e832c22522e0d9947ee4677120b2f28e4cd4#internaltx

se pueden ver todas las reclamaciones de esa wallet aquí(editado)

0xMaki 源 義経:

@Monstar tenemos los pasos, trabajamos en una solución ahora, los fondos no están en riesgo, solo un exploit del sushibar para los gastos, apesta pero es un buen bug bounty

nos privamos de 10k mas o menos hoy para la gente del Sushibar

Rekt:

Gracias por el enlace. ¿Cuáles fueron tus primeros pensamientos?

0xMaki:

Mis primeras impresiones fueron: no es posible que el bar tenga un problema, ¡¿verdad?! Debe de estar al frontend.. La tx no tenía sentido. Pero luego el bar no estaba generando tanto dinero cuando debía de haber tenido mucho más dentro.

Unos 15 minutos después me di cuenta de que no estaba bien, así que me puse en contacto inmediatamente con Banteg

Banteg no podía ayudar, eran las 6 de la mañana y había estado ocupado trabajando en la cosa de pickle/cornichon. Todos los devs de Sushi estaban dormidos - husos horarios de Europa y Tokio, yo soy el único en Norteamérica.

Rekt:

¿De quién conseguiste ayuda?

0xMaki:

Me ayudó Andy, un estrategista en yEarn/exingeniero de smart contracts en makerdao y Daniel Que, ex-Coinbase

Rekt:

¿Cuánto tardó en solucionarse?

0xMaki:

Unas 3-4 horas para reproducir y encontrar el problema.

Rekt:

¿Cuánto se perdió?

0xMaki:

Solamente 15k porque el sushibar solo acumula 20-30k al día. 0.05% va a las pools, y todo tiene que ser hecho manualmente, con el riesgo de que pueda fallar la tx.

Rekt:

¿Hack o exploit?

0xMaki:

Un exploit, definitivamente. Uno inteligente - y merece los fondos. Creo que lo he encontrado por cierto...

Rekt:

¿Estás más impresionado o avergonzado?

0xMaki:

¡Impresionado totalmente! ¡No hay manera que esté avergonzado! Me fascina ver todos estos hacks/exploits pasando, incluso con las auditorías robustas siempre hay algún tipo de nuevo escenario surgiendo que no necesariamente hubiésemos planeado, ni siquiera considerado.

Esto hace el ecosistema más fuerte y resiliente.

Solo perdimos 15k de este agresor, tal vez había otros haciendo lo mismo, tendré que verlo de cerca - detectamos esto porque empezó a afectar al bar entero.

De todos modos, sobre las 23:28, hora mía, nosotros (0xMaki y Andy) empezamos a arreglarlo.

Luego estábamos inspeccionando las transacciones más pequeñas, solo para comprobar que eran benignas, y luego - mierda - resulta que no fueron.

Andy acababa de volver de un vuelo, tenía jetlag y no se pudo quedar despierto, tenía que dormir, así que solo estaba yo, hasta que...

(samczsun)

rekt:

¿Cómo se enteró él?

0xMaki:

Lo había contactado desde que había estado solo sin ningún .sol jedi.

Rekt:

.sol-dados

0xMaki:

pero desafortunadamente… era tarde y tenía planes como cualquier otra persona cuerda un sábado por la noche, ¡¿verdad?!

De vuelta al inicio, sin nadie para ayudar...

Intenté contactar a Chef Nomi, a todos los devs principales, dejando un paso-por-paso del proceso en el canal principal del equipo esperando que alguien se despertara.

Luego recordé a Daniel, alguien que nos había estado ayudando desde el principio, entonces le contacté, hablamos, le explique todo.

Rekt:

¿Todavía hablas con Nomi?

0xMaki:

No.

0xMaki:

02:35 y ¡¡¡tuvimos una reproducción!!! Habíamos descifrado cómo funcionaba el exploit y pudimos replicarlo, así que podíamos trabajar en una solución.

03:19 teníamos la solución.

0xMaki:

Las cosas se veían mejor, el equipo se estaba despertando y trabajando en un arreglo. Mientras tanto, volví a nuestro exploiter, y vi que él era principalmente un holder de SNX y ETH. Revisé sus transacciones - esta no era una cuenta hecha para hackear, era alguien husmeando que había encontrado un exploit.

Rekt:

¿Por qué dices esto?

0xMaki:

Propinas. Recibió varias propinas en SNX y ESD, así que es alguien que está involucrado en ambas comunidades, a lo mejor en sus Discords.

Hice una referencia cruzada de quien recibía y quien enviaba propinas dentro de un rango de fechas, y bingo...

Alguien dentro de la comunidad SNX me ayudó a identificar a los recipientes de las propinas.

Y eso fue todo, el equipo entero estuvo despierto, tuvimos una solución preliminar, y el ataque fue detenido. Ahí fue cuando las noticias llegaron a Twitter.

Nota del editor: Desde entonces hemos recibido la siguiente evidencia indisputable del sospechoso -

"nunca podría ser yo"

0xMaki:

Nadie perdió fondos porque el dinero era ganancia pura con destino a los holders de xSushi. Vamos a enviar desde la tesorería 15k en Sushi, repartido pro-rata.

Rekt:

Nada pesado entonces, ¡una comida ligera! ¿Algún mensaje final para el sospechoso?

0xMaki:

¡Contáctame! Tenemos más smart contracts en los que puedes husmear, ¡y pagamos bug bounties!

También quiero agradecer a todos los involucrados en la historia, incluido el hacker.

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.