SushiSwap MISO平臺遭攻擊，被盜逾300萬美元的ETH_SHI

本文來自Decrypt，原文作者：AndrewAsmakov

Odaily星球日報譯者?|念銀思唐

據報道，SushiSwap的Launchpad平臺MISO遭到攻擊，黑客竊取了864.8枚ETH，以當前價格計算價值超300萬美元。

SushisSwap是全球最大的去中心化交易所之一，也是Uniswap的競爭對手。CoinCecko數據顯示，截至發稿時，SushisSwap在過去24小時內的交易額超過4.95億美元。

正如該項目官網所述，MISO是“一套開源智能合約，旨在簡化在SushisSwap交易所上線新項目的過程。”

黑客組織Lapsus$入侵了T-Mobile的系統并竊取了其源代碼:金色財經報道，黑客組織Lapsus$在 3 月份發生的一系列違規事件中竊取了T-Mobile的源代碼。T-Mobile在給The Verge的一份聲明中證實了這次攻擊，并表示訪問的系統不包含客戶或政府信息或其他類似的敏感信息。根據 Krebs 發布的截圖消息，Lapsus$ 黑客還試圖侵入 FBI 和國防部的 T-Mobile 賬戶。他們最終沒有這樣做，因為需要額外的驗證措施。

此前消息，英偉達（NVIDIA）曾在二月份下旬報告稱其部分線上業務遭到潛在網絡攻擊，當時黑客組織Lapsus$ 聲稱對此時負責并補充說他們已經竊取了英偉達1TB的數據。據PCmag最新報道，該黑客組合已經開始出售相關數據，同時還將出售解鎖英偉達GPU限制以太坊挖礦的方法。

據悉，Lapsus$ 以黑客組織而聞名，該組織主要針對微軟、三星和英偉達等大型科技公司的源代碼。（theverge）[2022/4/24 14:44:43]

據SushiSwap的首席技術官JosephDelong稱，MISO遭到了所謂的供應鏈攻擊。一名匿名承包商在GitHub的Handler?AristoK3下向MISO平臺前端注入了惡意代碼，并用自己的錢包地址替換了拍賣的錢包地址。

SushiSwap在監管壓力下暫停融資提案:8月9日消息，SushiSwap發布了最新周報，該周報指出，Sushi項目方在監管壓力下決定暫停之前的融資提案。據此前報道，7月11日，SushiSwap社區治理人 0xMaki 曾發起財庫多元化融資提案，提議從財政部撥出6000萬美元代幣給機構投資者和社區成員，其中最多1000萬美元分配給社區成員。確定的21個戰略投資者有 Lightspeed Capital、Breyer Capital、Spartan、Divergence、Dragonfly Capital、Polychain、True Ventures、Blockchain.com、Pantera Capital、Jump、3AC、DeFiance、ParaFi、Hashed、Zee Prime、Multicoin Capital、Blockchain Capital、Future Fund、Rockaway、Coinfund，及 CMS Holding。[2021/8/9 1:43:12]

注：根據百度百科介紹，供應鏈攻擊是一種面向軟件開發人員和供應商的新興威脅。目標是通過感染合法應用分發惡意軟件來訪問源代碼、構建過程或更新機制。

SushiSwap將為貢獻者提供共一萬枚SUSHI獎勵:金色財經報道，SushiSwap團隊今日在官方Medium發文稱，將為生態系統工具貢獻者提供3個級別的SUSHI獎勵。1.構建SushiSwap交易和farming UI。需要一個有能力的團隊在7天內完成這個項目，需支持導入Web3錢包、允許用戶加入或退出流動性、能夠顯示用戶SUSHI獎勵。將獎勵1萬SUSHI，最多獎勵3個產品；2.建立SushiSwap分析和統計網站，將獎勵5000 SUSHI，最多獎勵3個產品；3.將SushiSwap與現有DeFi產品集成，將能夠獲得2000 SUSHI獎勵。[2020/9/2]

此次受影響的是以汽車為主題的NFT項目JayPegsAutoMart的DONA代幣。目前該漏洞已經修復。

根據以太坊區塊鏈瀏覽器Etherscan的數據，攻擊發生在美國東部時間周四下午12:04，該公司已將Delong披露的黑客地址確定為涉及MISO攻擊的地址。

這其實不是MISO第一次遇到類似的問題，但上一次是因為有“貴人相助”才得以幸免。

8月18日，區塊鏈投資機構Paradigm研究合伙人、白帽黑客samczsun撰文披露BitDAO此前在SushiSwapMISO平臺進行荷蘭式拍賣的智能合約存在安全漏洞，多名白帽黑客聯手從眾籌資金池中拯救回10.9萬枚ETH的經過。SushiSwap首席技術官JosephDelong隨后發布漏洞分析，證實samczsun所報告的漏洞及白帽拯救行動，MISO平臺上ETH眾籌池中價值3.5億美元的ETH現已安全。

samczsun稱，這可能是最大的白帽拯救行動。此次白帽拯救行動導致BitDAO在MISO平臺進行的荷蘭拍中的ETH資金池提前結束，參與者可以提前領取BIT代幣并在SushiSwap上進行交易。Paradigm研究團隊成員、Immunefi團隊成員和SushiSwap開發團隊參與了本次行動。十天后，Delong發推稱，SushiSwap向samczsun支付了100萬USDC作為漏洞賞金。

當時的拍賣順利結束，在此過程中籌集了3.65億美元。值得一提的是，MISO要求BitDAO團隊手動結束代幣拍賣，以消除潛在威脅。

黑客身份是否鎖定？

SushiSwap聲稱有理由相信該名黑客是Twitter用戶@eratos1122，他“曾與Yearn.Finance合作并接觸過許多其他項目。”

然而，Delong鏈接到的Twitter個人資料顯示了不同的GitHub?Handler，而不是SushiSwap聲稱的AristoK3。

Delong補充說，SushiSwap尋求加密貨幣交易所FTX和幣安共享攻擊者的KYC信息，“但他們在這一時效性問題上予以抗拒。”

“我建議您測試自己的用戶界面，以便盡早發現漏洞。”Delong說。

他還表示，如果被盜資金在美國東部時間周五上午8點之前仍未歸還，他將指示該公司的律師StephenPalley向聯邦調查局報案。

Tags：SHIUSHUSHISUSHISHINE幣PUSH價格TUSHIsushi幣值得長期持有嗎

幣安幣