SHI:SushiSwap MISO平臺遭攻擊，被盜逾300萬美元的ETH

本文來自Decrypt，原文作者：AndrewAsmakov

Odaily星球日報譯者?|念銀思唐

據報道，SushiSwap的Launchpad平臺MISO遭到攻擊，黑客竊取了864.8枚ETH，以當前價格計算價值超300萬美元。

SushisSwap是全球最大的去中心化交易所之一，也是Uniswap的競爭對手。CoinCecko數據顯示，截至發稿時，SushisSwap在過去24小時內的交易額超過4.95億美元。

正如該項目官網所述，MISO是“一套開源智能合約，旨在簡化在SushisSwap交易所上線新項目的過程。”

SUSMED通過使用區塊鏈技術提高臨床試驗效率:SUSMED宣布已收到日本衛生、勞工和福利部部長以及經濟、貿易和工業部部長對其申請的回復，認為藥物或醫療設備臨床試驗中必要的監控過程可以用SUSMED的區塊鏈技術代替，它完全符合政府指令。本屆政府的結論來自監管沙箱在2019年取得的顯著成就，其中，SUSMED與日本國家癌癥研究中心一起在研究中實施了區塊鏈技術。

SUSMED將為制藥制造商、大學醫院和其他熱衷于提高臨床試驗效率的研究機構提供這一區塊鏈技術系統。（Businesswire）[2020/12/7 14:24:54]

據SushiSwap的首席技術官JosephDelong稱，MISO遭到了所謂的供應鏈攻擊。一名匿名承包商在GitHub的Handler?AristoK3下向MISO平臺前端注入了惡意代碼，并用自己的錢包地址替換了拍賣的錢包地址。

Blockstream首席執行官：Sushi就是一個退出騙局:Blockstream首席執行官Adam Back昨日在推特上表示：這個有點意思：Sushi：貸款，空投，先拉后砸；萊特幣：比特幣是黃金的話萊特幣就是白銀，早期挖礦/購買，頂部賣出。今日Adam Back繼續發推稱，鑒于昨日發生的新情況（指SushiSwap創始人Chef Nomi套現1.8萬枚ETH），需要更新一下：Sushi：貸款，空投，拉盤，退出騙局。此前消息，有成員表示SushiSwap創始人Chef Nomi疑似套現價值600萬美元的ETH，隨后導致SUSHI代幣暴跌。Chef Nomi回應稱，套現只造成5%的滑點。他將繼續推進SushiSwap的發展和流動性遷移，繼續在社區提供技術支持。同時他還堅稱：“我賣掉Devshare的SUSHI代幣和Sushiswap是不是騙局沒有關系，我不知道為什么現在每個人都認為我是個騙子。我沒有偷任何人的錢。Devshare的使用方式在最初的博客文章中已經非常清楚地說明了。”[2020/9/6]

注：根據百度百科介紹，供應鏈攻擊是一種面向軟件開發人員和供應商的新興威脅。目標是通過感染合法應用分發惡意軟件來訪問源代碼、構建過程或更新機制。

Consensus共識大會將由線下活動轉為線上會議，可免費參與:Consensus共識大會的組織者Coindesk在官方網站發布公告，表示隨著全球新冠肺炎疫情的惡化，原定于今年5月舉辦的Consensus共識大會以及紐約區塊鏈周活動將由線下活動轉變為網絡線上虛擬會議，并將允許世界各地的參與者免費在線參加。Coindesk同時表示，正在與一流的媒體平臺提供商合作以支持此次線上會議，并將對已購票的與會者進行退款。（coindesk）[2020/3/14]

此次受影響的是以汽車為主題的NFT項目JayPegsAutoMart的DONA代幣。目前該漏洞已經修復。

根據以太坊區塊鏈瀏覽器Etherscan的數據，攻擊發生在美國東部時間周四下午12:04，該公司已將Delong披露的黑客地址確定為涉及MISO攻擊的地址。

這其實不是MISO第一次遇到類似的問題，但上一次是因為有“貴人相助”才得以幸免。

8月18日，區塊鏈投資機構Paradigm研究合伙人、白帽黑客samczsun撰文披露BitDAO此前在SushiSwapMISO平臺進行荷蘭式拍賣的智能合約存在安全漏洞，多名白帽黑客聯手從眾籌資金池中拯救回10.9萬枚ETH的經過。SushiSwap首席技術官JosephDelong隨后發布漏洞分析，證實samczsun所報告的漏洞及白帽拯救行動，MISO平臺上ETH眾籌池中價值3.5億美元的ETH現已安全。

samczsun稱，這可能是最大的白帽拯救行動。此次白帽拯救行動導致BitDAO在MISO平臺進行的荷蘭拍中的ETH資金池提前結束，參與者可以提前領取BIT代幣并在SushiSwap上進行交易。Paradigm研究團隊成員、Immunefi團隊成員和SushiSwap開發團隊參與了本次行動。十天后，Delong發推稱，SushiSwap向samczsun支付了100萬USDC作為漏洞賞金。

當時的拍賣順利結束，在此過程中籌集了3.65億美元。值得一提的是，MISO要求BitDAO團隊手動結束代幣拍賣，以消除潛在威脅。

黑客身份是否鎖定？

SushiSwap聲稱有理由相信該名黑客是Twitter用戶@eratos1122，他“曾與Yearn.Finance合作并接觸過許多其他項目。”

然而，Delong鏈接到的Twitter個人資料顯示了不同的GitHub?Handler，而不是SushiSwap聲稱的AristoK3。

Delong補充說，SushiSwap尋求加密貨幣交易所FTX和幣安共享攻擊者的KYC信息，“但他們在這一時效性問題上予以抗拒。”

“我建議您測試自己的用戶界面，以便盡早發現漏洞。”Delong說。

他還表示，如果被盜資金在美國東部時間周五上午8點之前仍未歸還，他將指示該公司的律師StephenPalley向聯邦調查局報案。

Tags：SUSHIUSHSHIUSHISUSHIBEARMUSH幣SHIL幣sushi幣值得長期持有嗎

以太坊交易所