Home Tecnología La plataforma de lanzamiento de criptomonedas golpeada por un ataque a la cadena de suministro de $ 3 millones

La plataforma de lanzamiento de criptomonedas golpeada por un ataque a la cadena de suministro de $ 3 millones

by admin

El director de tecnología de SushiSwap dice que la plataforma MISO de la compañía se ha visto afectada por un ataque a la cadena de suministro de software. SushiSwap es una plataforma de finanzas descentralizadas (DeFi) impulsada por la comunidad que permite a los usuarios intercambiar, ganar, prestar, pedir prestado y aprovechar los activos de criptomonedas, todo desde un solo lugar. Lanzada a principios de este año, la oferta más nueva de Sushi, Minimal Initial SushiSwap Offer (MISO), es una plataforma de lanzamiento de tokens que permite a los proyectos lanzar sus propios tokens en la red Sushi.

A diferencia de las monedas de criptomonedas que necesitan una cadena de bloques nativa y una base sustancial, los tokens DeFi son una alternativa más fácil de implementar, ya que pueden funcionar en una cadena de bloques existente. Por ejemplo, cualquiera puede crear sus propios “tokens digitales” en la parte superior de la cadena de bloques Ethereum sin tener que recrear una nueva criptomoneda por completo.

El atacante roba $ 3 millones en Ethereum a través de un compromiso de GitHub

En un hilo de Twitter de hoy, el director de tecnología de SushiSwap, Joseph Delong, anunció que una subasta en la plataforma de lanzamiento de MISO había sido secuestrada a través de un ataque a la cadena de suministro. Un “contratista anónimo” con GitHub maneja AristoK3 y el acceso al repositorio de código del proyecto había enviado una confirmación de código malicioso que se distribuyó en el front-end de la plataforma.

Un ataque a la cadena de suministro de software ocurre cuando un atacante interfiere o secuestra el proceso de fabricación de software para insertar su código malicioso de modo que una gran cantidad de consumidores del producto terminado se vean afectados negativamente por las acciones del atacante. Esto puede suceder cuando las bibliotecas de códigos o los componentes individuales utilizados en una compilación de software están contaminados, cuando los binarios de actualización de software son “troyanos”, cuando se roban certificados de firma de código o incluso cuando se viola un servidor que proporciona software como servicio. Por lo tanto, en comparación con una brecha de seguridad aislada, los ataques exitosos a la cadena de suministro producen un impacto y daño mucho más generalizados.

En el caso de MISO, Delong dice que “el atacante insertó su propia dirección de billetera para reemplazar la subasta en la creación de la subasta “:

El tweet anterior se eliminó, pero está disponible aquí.

A través de este exploit, el atacante pudo canalizar 864.8 monedas Ethereum, alrededor de $ 3 millones, en su billetera.

Hasta ahora, solo la subasta de un mercado de automóviles (1, 2) se ha explotado en la plataforma, según Delong, y se han parcheado todas las subastas afectadas. La cantidad final de la subasta se alinea con la cantidad de monedas Ethereum robadas.

Fondos robados de la subasta de Auto Mart en la plataforma MISO de SushiSwap.
Agrandar / Fondos robados de la subasta de Auto Mart en la plataforma MISO de SushiSwap.

SushiSwap ha solicitado los registros de Know Your Customer del atacante de los intercambios de criptomonedas Binance y FTX en un esfuerzo por identificar al atacante. Binance dijo públicamente que está investigando el incidente y se ofreció a trabajar con SushiSwap.

“Suponiendo que los fondos no se devuelvan a las 8a ET. Hemos instruido a nuestro abogado [Stephen Palley] para presentar una denuncia de IC3 ante el FBI “, dijo Delong.

Ars ha visto caer el saldo de la billetera del atacante en las últimas horas, lo que indica que los fondos están cambiando de manos. Transacciones recientes (1, 2) muestran al “Miso Front End Exploiter” devolviendo la moneda robada a SushiSwap en el grupo de la compañía llamado “Operación Multisig”.

No es inusual que los atacantes y ciberdelincuentes devuelvan los fondos robados a su legítimo propietario por temor a las repercusiones de la policía, como vimos en el atraco de $ 600 millones de Poly Network.

Pero, ¿cómo obtuvo el atacante acceso a GitHub?

Según SushiSwap, el contratista deshonesto AristoK3 empujó el código malicioso commit 46da2b4420b34dfba894e4634273ea68039836f1 al repositorio “miso-studio” de Sushi. Como el repositorio parece ser privado, GitHub arroja un error 404 “no encontrado” a aquellos que no están autorizados a ver el repositorio. Entonces, ¿cómo obtuvo el “contratista anónimo” acceso al repositorio del proyecto en primer lugar? ¿Seguramente debe haber un proceso de investigación en algún lugar de SushiSwap?

Aunque cualquiera puede ofrecer contribuir a un repositorio público de GitHub, solo determinadas personas pueden acceder a los privados o contribuir a ellos. E incluso entonces, lo ideal es que las confirmaciones sean verificadas y aprobadas por miembros de confianza del proyecto.

El entusiasta de las criptomonedas, Martin Krung, creador del “ataque de vampiros”, se preguntó si la solicitud de extracción del atacante se revisó correctamente antes de fusionarse con el código base, y recibió información de los colaboradores:

Un análisis aproximado (ahora eliminado por SushiSwap pero respaldado aquí) compilado por SushiSwap intenta rastrear a los atacantes y hace referencias a múltiples identidades digitales. SushiSwap cree que el usuario de GitHub AristoK3 está asociado con el identificador de Twitter eratos1122, aunque la respuesta de este último no es concluyente. “Esto es realmente una locura … Por favor, elimínelo y diga ‘lo siento’ a todos … Si no, voy a compartir todo el proyecto MISO [sic] que tengo (sabes muy bien en lo que he trabajado en el proyecto MISO), ” respondió eratos1122.

Debido a que algunas de las identidades digitales mencionadas en el análisis permanecen sin verificar, Ars se abstiene de mencionarlas hasta que haya más información disponible. Nos hemos comunicado con Delong y los presuntos atacantes para obtener más información. Estamos esperando sus respuestas.

Lea también:  Google dice que el intercambio de compra en la aplicación de Fortnite fue un incumplimiento de contrato, demanda a Epic

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy