Les développeurs de Paradigm corrigent la faille de sécurité dans SushiSwap et évitent des pertes de 350 millions de dollars US

Pour Angel Di Matteo @shadowargel

L’écart était présent dans l’un des contrats intelligents pour l’enchère d’actifs. Les développeurs ont corrigé les problèmes de SushiSwap en cinq heures.

***

Un groupe de personnes dirigé par le partenaire de Paradigm Sam Sung a détecté une faille de sécurité dans le protocole DeFi SushiSwap et a empêché la plateforme de perdre plus de 350 millions de dollars en Ethereum (ETH).

Cela a été révélé dans un rapport publié hier par SushiSwap, dans lequel ils rapportaient que Sam Sun et ses collègues de Paradigm avaient contacté les chefs de projet, précisément pour les informer d’une vulnérabilité présente dans l’un de leurs contrats, en particulier dans le soi-disant Enchères » sur la plateforme Miso.

La vulnérabilité dans le contrat SushiSwap

Dans ce contrat, les investisseurs placent les offres les plus élevées qu’ils sont prêts à payer pour d’autres actifs, et une fois l’enchère terminée, les fonds sont retournés à ceux qui n’étaient pas gagnants.

Cependant, Sun et son équipe ont identifié une vulnérabilité que les attaquants pourraient exploiter, ce qui leur a permis d’entrer dans l’enchère et d’enchérir totalement gratuitement, sans consigner l’équivalent du montant offert pour les actifs correspondants.

À cet égard, l’équipe SushiSwap a commenté :

« La combinaison de lots avec commitEth (une fonctionnalité de la vente aux enchères néerlandaise de Miso) crée un problème à deux volets où un utilisateur peut enchérir plus haut que msg.value, épuisant les jetons invendus et drainant également les fonds collectés dans le contrat sous forme de remboursement si la vente aux enchères a atteint le valeur maximale offerte « 

Plus en détail, Immunefi CTO Duncan Townsend a souligné que l’erreur décrite ci-dessus s’est produite lorsqu’une certaine fonction pour les adresses de portefeuille interagissait avec le mécanisme de remboursement de contrat intelligent, ce qui leur permettrait d’enchérir et de récupérer les fonds retournés. , répétant le processus pour épuiser le capital y loge.

Au vu de ce qui s’est passé, l’équipe SushiSwap a indiqué que toutes les enchères dans le cadre des contrats néerlandais sont suspendues jusqu’à ce qu’une version mise à jour soit mise en œuvre.

Accent sur la sécurité et une bonne programmation

Malgré le fait que l’histoire ait eu un bon dénouement et qu’il n’y ait eu aucun vol sur la plate-forme SushiSwap, Sun a souligné la complexité des contrats intelligents et a rendu visible que même s’il n’y avait pas d’erreurs de code, deux fonctions sécurisées pouvaient déclencher une erreur aux conséquences catastrophiques.

À cet égard, Sun a noté :

« Cet incident montre que même les composants sûrs au niveau du contrat peuvent être mélangés d’une manière qui produit un comportement dangereux… interactions supplémentaires que les nouveaux composants introduisent ».

L’action rapide de Sun et de son équipe a généré de nombreuses réactions positives de la part de la communauté des utilisateurs et des passionnés, qui a félicité les personnes qui ont travaillé pour corriger ce bogue, car elles ont pu fermer les failles de sécurité en cinq heures.

Lecture recommandée

Source : CoinDesk, NewsBTC

Version par Angel Di Matteo / QuotidienBitcoin

Image de Unsplash