De chief technology officer van SushiSwap zegt dat het MISO-platform van het bedrijf is getroffen door een aanval op de softwaretoeleveringsketen. SushiSwap is een door de gemeenschap aangestuurd gedecentraliseerd financieringsplatform (DeFi) waarmee gebruikers cryptocurrency-activa vanaf één plek kunnen ruilen, verdienen, lenen, lenen en benutten. Het nieuwste aanbod van Sushi, Minimal Initial SushiSwap Offering (MISO), dat eerder dit jaar werd gelanceerd, is een token-lanceerplatform waarmee projecten hun eigen tokens op het Sushi-netwerk kunnen lanceren.
In tegenstelling tot cryptocurrency-munten die een native blockchain en inhoudelijke basis nodig hebben, zijn DeFi-tokens een eenvoudiger alternatief om te implementeren, omdat ze kunnen functioneren op een bestaande blockchain. Iedereen kan bijvoorbeeld zijn eigen “digitale tokens” bovenop de Ethereum-blockchain maken zonder een nieuwe cryptocurrency helemaal opnieuw te hoeven maken.
In een Twitter-thread van vandaag kondigde SushiSwap CTO Joseph Delong aan dat een veiling op het MISO-lanceerplatform was gekaapt via een supply chain-aanval. Een “anonieme contractant” met de GitHub verwerkt AristoK3 en toegang tot de coderepository van het project had een kwaadaardige code gepleegd die op de front-end van het platform werd verspreid.
Een aanval op de toeleveringsketen van software vindt plaats wanneer een aanvaller het fabricageproces van de software verstoort of kaapt om zijn kwaadaardige code in te voegen, zodat een groot aantal consumenten van het eindproduct nadelige gevolgen ondervindt van de acties van de aanvaller. Dit kan gebeuren wanneer codebibliotheken of individuele componenten die in een softwarebuild worden gebruikt, besmet zijn, wanneer binaire bestanden voor software-updates worden “trojansed”, wanneer certificaten voor code-ondertekening worden gestolen, of zelfs wanneer een server die software-as-a-service levert, wordt geschonden. Daarom hebben succesvolle aanvallen op de toeleveringsketen, in vergelijking met een geïsoleerde inbreuk op de beveiliging, een veel grotere impact en schade.
In het geval van MISO zegt Delong dat “de aanvaller zijn eigen portemonnee-adres heeft ingevoerd om de veilingWallet bij de veilingcreatie”:
De tweet hierboven is verwijderd, maar is hier beschikbaar gemaakt.
Door deze exploit kon de aanvaller 864,8 Ethereum-munten – ongeveer $ 3 miljoen – in hun portemonnee sluizen.
Tot nu toe alleen een auto-marktveiling (1, 2) is misbruikt op het platform, volgens Delong, en de betrokken veilingen zijn allemaal gepatcht. Het definitieve bedrag van de veiling komt overeen met het aantal gestolen Ethereum-munten.
SushiSwap heeft de gegevens van de aanvaller opgevraagd bij de cryptovaluta-uitwisselingen Binance en FTX in een poging de aanvaller te identificeren. Binance zei publiekelijk dat het het incident onderzoekt en heeft aangeboden om samen te werken met SushiSwap.
“Ervan uitgaande dat het geld niet wordt teruggegeven door 8a ET. We hebben onze advocaat geïnstrueerd [Stephen Palley] om een IC3-klacht in te dienen bij de FBI”, aldus Delong.
Ars heeft de afgelopen uren het saldo van de portemonnee van de aanvaller zien dalen, wat aangeeft dat het geld van eigenaar wisselt. Recente transacties (1, 2) laat de “Miso Front End Exploiter” zien die de gestolen valuta teruggeeft aan SushiSwap in de pool van het bedrijf genaamd “Operatie Multisig.”
Het is niet ongebruikelijk dat aanvallers en cybercriminelen het gestolen geld teruggeven aan hun rechtmatige eigenaar uit angst voor repercussies van wetshandhavers, zoals we zagen in de overval van 600 miljoen dollar van Poly Network.
Volgens SushiSwap pleegt de malafide aannemer AristoK3ed kwaadaardige code 46da2b4420b34dfba894e4634273ea68039836f1 naar Sushi’s “miso-studio”-repository. Omdat de repository privé lijkt te zijn, geeft GitHub een 404-foutmelding “niet gevonden” aan degenen die niet geautoriseerd zijn om de repository te bekijken. Dus hoe kreeg de “anonieme aannemer” in de eerste plaats toegang tot de projectrepository? Er moet toch ergens een controleproces zijn bij SushiSwap?
Hoewel iedereen kan aanbieden om bij te dragen aan een openbare GitHub-repository, hebben alleen geselecteerde individuen toegang tot of bijdragen aan privé-repository’s. En zelfs dan moeten de commits idealiter worden geverifieerd en goedgekeurd door vertrouwde leden van het project.
Cryptocurrency-enthousiasteling Martin Krung, maker van de “vampieraanval”, vroeg zich af of het pull-verzoek van de aanvaller goed was beoordeeld voordat het werd samengevoegd met de codebase, en hij ontving inzichten van medewerkers:
Ik heb gezien dat PR’s met meer dan 40+ bestanden zijn gewijzigd die onmiddellijk werden goedgekeurd. Er is geen code-eigendom.
Een ruwe analyse (nu verwijderd door SushiSwap maar hier geback-upt) samengesteld door SushiSwap probeert de aanvaller(s) op te sporen en verwijst naar meerdere digitale identiteiten. SushiSwap gelooft dat GitHub-gebruiker AristoK3 wordt geassocieerd met de Twitter-handle eratos1122, hoewel de reactie van laatstgenoemde niet overtuigend is. “Dit is echt te gek… Verwijder het alsjeblieft en zeg ‘sorry’ tegen iedereen… Zo niet, dan ga ik het hele MISO-project delen [sic] die ik heb (je weet wat ik heel goed aan het MISO-project heb gewerkt),” reageerde eratos1122.
Omdat een deel van de in de analyse genoemde digitale identiteiten nog niet geverifieerd zijn, doet Ars geen melding hiervan totdat er meer informatie beschikbaar is. We hebben contact opgenomen met Delong en de vermeende aanvallers voor meer informatie. We wachten hun reacties af.
Bijwerken:Delong’s recente tweeten en het bijgewerkte portemonnee-saldo bevestigt dat de aanvaller het geld heeft teruggegeven aan MISO.