Cryptocurrency-lanceringsplatform getroffen door een aanval van $ 3 miljoen in de toeleveringsketen

De chief technology officer van SushiSwap zegt dat het MISO-platform van het bedrijf is getroffen door een aanval op de softwaretoeleveringsketen. SushiSwap is een door de gemeenschap aangestuurd gedecentraliseerd financieringsplatform (DeFi) waarmee gebruikers cryptocurrency-activa vanaf één plek kunnen ruilen, verdienen, lenen, lenen en benutten. Het nieuwste aanbod van Sushi, Minimal Initial SushiSwap Offering (MISO), dat eerder dit jaar werd gelanceerd, is een token-lanceerplatform waarmee projecten hun eigen tokens op het Sushi-netwerk kunnen lanceren.

In tegenstelling tot cryptocurrency-munten die een native blockchain en inhoudelijke basis nodig hebben, zijn DeFi-tokens een eenvoudiger alternatief om te implementeren, omdat ze kunnen functioneren op een bestaande blockchain. Iedereen kan bijvoorbeeld zijn eigen “digitale tokens” bovenop de Ethereum-blockchain maken zonder een nieuwe cryptocurrency helemaal opnieuw te hoeven maken.

In een Twitter-thread van vandaag kondigde SushiSwap CTO Joseph Delong aan dat een veiling op het MISO-lanceerplatform was gekaapt via een supply chain-aanval. Een “anonieme contractant” met de GitHub verwerkt AristoK3 en toegang tot de coderepository van het project had een kwaadaardige code gepleegd die op de front-end van het platform werd verspreid.

Een aanval op de toeleveringsketen van software vindt plaats wanneer een aanvaller het fabricageproces van de software verstoort of kaapt om zijn kwaadaardige code in te voegen, zodat een groot aantal consumenten van het eindproduct nadelige gevolgen ondervindt van de acties van de aanvaller. Dit kan gebeuren wanneer codebibliotheken of individuele componenten die in een softwarebuild worden gebruikt, besmet zijn, wanneer binaire bestanden voor software-updates worden “trojansed”, wanneer certificaten voor code-ondertekening worden gestolen, of zelfs wanneer een server die software-as-a-service levert, wordt geschonden. Daarom hebben succesvolle aanvallen op de toeleveringsketen, in vergelijking met een geïsoleerde inbreuk op de beveiliging, een veel grotere impact en schade.

In het geval van MISO zegt Delong dat “de aanvaller zijn eigen portemonnee-adres heeft ingevoerd om de veilingWallet bij de veilingcreatie”:

De tweet hierboven is verwijderd, maar is hier beschikbaar gemaakt.

Door deze exploit kon de aanvaller 864,8 Ethereum-munten – ongeveer $ 3 miljoen – in hun portemonnee sluizen.

Tot nu toe alleen een auto-marktveiling (1, 2) is misbruikt op het platform, volgens Delong, en de betrokken veilingen zijn allemaal gepatcht. Het definitieve bedrag van de veiling komt overeen met het aantal gestolen Ethereum-munten.

Geld gestolen van Automart-veiling op SushiSwap's MISO-platform.

Vergroten / Geld gestolen van Automart-veiling op SushiSwap’s MISO-platform.

SushiSwap heeft de gegevens van de aanvaller opgevraagd bij de cryptovaluta-uitwisselingen Binance en FTX in een poging de aanvaller te identificeren. Binance zei publiekelijk dat het het incident onderzoekt en heeft aangeboden om samen te werken met SushiSwap.

“Ervan uitgaande dat het geld niet wordt teruggegeven door 8a ET. We hebben onze advocaat geïnstrueerd [Stephen Palley] om een ​​IC3-klacht in te dienen bij de FBI”, aldus Delong.

Ars heeft de afgelopen uren het saldo van de portemonnee van de aanvaller zien dalen, wat aangeeft dat het geld van eigenaar wisselt. Recente transacties (1, 2) laat de “Miso Front End Exploiter” zien die de gestolen valuta teruggeeft aan SushiSwap in de pool van het bedrijf genaamd “Operatie Multisig.”

Het is niet ongebruikelijk dat aanvallers en cybercriminelen het gestolen geld teruggeven aan hun rechtmatige eigenaar uit angst voor repercussies van wetshandhavers, zoals we zagen in de overval van 600 miljoen dollar van Poly Network.

Volgens SushiSwap pleegt de malafide aannemer AristoK3ed kwaadaardige code 46da2b4420b34dfba894e4634273ea68039836f1 naar Sushi’s “miso-studio”-repository. Omdat de repository privé lijkt te zijn, geeft GitHub een 404-foutmelding “niet gevonden” aan degenen die niet geautoriseerd zijn om de repository te bekijken. Dus hoe kreeg de “anonieme aannemer” in de eerste plaats toegang tot de projectrepository? Er moet toch ergens een controleproces zijn bij SushiSwap?

Hoewel iedereen kan aanbieden om bij te dragen aan een openbare GitHub-repository, hebben alleen geselecteerde individuen toegang tot of bijdragen aan privé-repository’s. En zelfs dan moeten de commits idealiter worden geverifieerd en goedgekeurd door vertrouwde leden van het project.

Cryptocurrency-enthousiasteling Martin Krung, maker van de “vampieraanval”, vroeg zich af of het pull-verzoek van de aanvaller goed was beoordeeld voordat het werd samengevoegd met de codebase, en hij ontving inzichten van medewerkers:

By Admin

Leave a Reply

Your email address will not be published. Required fields are marked *