Lancement d’un tampon de crypto-monnaie touché par une attaque de 3 millions de dollars sur la chaîne d’approvisionnement

Lancement d’un tampon de crypto-monnaie touché par une attaque de 3 millions de dollars sur la chaîne d’approvisionnement

17 septembre 2021 0 Par Le Caiman

Le directeur de la technologie de SushiSwap a déclaré qu’une attaque de la chaîne d’approvisionnement logicielle avait touché la plate-forme MISO de l’entreprise. SushiSwap est axé sur la communauté finances décentralisées Une plate-forme (DeFi) qui permet aux utilisateurs d’échanger, de gagner, de prêter, d’emprunter et d’exploiter des actifs de crypto-monnaie à partir d’un seul endroit. Adresse plus tôt cette année, la dernière offre de Sushi, SushiSwap Minimum Initial Offer (MISO), est un lancement de jetons qui permet aux projets d’envoyer leurs propres jetons sur le réseau Sushi.

Contrairement aux pièces de crypto-monnaie qui nécessitent une blockchain native et une base substantielle, les jetons DeFi sont une alternative plus facile à mettre en œuvre, car ils peuvent fonctionner sur une blockchain existante. Par exemple, n’importe qui peut créer ses propres « jetons numériques » au-dessus de la blockchain Ethereum sans pouvoir recréer complètement une nouvelle crypto-monnaie.

L’attaquant volera 3 millions de dollars dans Ethereum via un engagement GitHub

Dans un fil Twitter aujourd’hui, le directeur technique de SushiSwap, Joseph Delong, a annoncé qu’une vente aux enchères du lancement de MISO avait été attaquée par une attaque contre la chaîne d’approvisionnement. « Entrepreneur anonyme » avec poignée GitHub AristoK3 et l’accès au référentiel de code du projet a poussé un engagement de code malveillant distribué au front-end de la plate-forme.

Une attaque de chaîne d’approvisionnement logicielle se produit lorsqu’un attaquant interrompt le processus de fabrication de logiciels insérer leur code malveillant afin que les actions de l’attaquant nuisent à un grand nombre de consommateurs du produit fini. Cela peut se produire lorsque les bibliothèques de code ou les composants individuels utilisés dans la construction logicielle sont corrompus, les binaires de mise à jour logicielle sont « trojanisés », lorsque les certificats de signature de code sont volés, ou même lorsqu’un serveur fournissant des logiciels en l’état est compromis. . Ainsi, par rapport aux failles de sécurité à distance, les attaques réussies sur la chaîne d’approvisionnement ont un impact et des dommages beaucoup plus étendus.

Dans le cas de MISO, Delong déclare que « l’attaquant a envoyé son propre portefeuille dans le ceantPortefeuille création de l’enchère  » :

Les tweets vus au moment de la rédaction ont été supprimés sous peu mais ont été faits disponible ici.

Grâce à cette exploitation, l’attaquant a pu agiter 864,8 pièces Ethereum – environ 3 millions de dollars – dans leur partie Bourse.

Jusqu’à présent, seule une vente aux enchères de vaches automobiles (1, 2) que la plate-forme a été exploitée, selon Delong, et que toutes les enchères concernées sont corrigées. Taille finie des lignes d’enchères jusqu’au nombre de pièces Ethereum volées.

Fonds volés lors d'une vente aux enchères d'Auto Mart sur la plateforme MISO SushiSwap
Augmenter / Fonds volés lors d’une vente aux enchères d’Auto Mart sur la plateforme MISO SushiSwap

SushiSwap a demandé les enregistrements Know Your Customer de l’attaquant des échanges de crypto-monnaie Binance et FTX afin d’essayer d’identifier l’attaquant. Binance dit publiquement qu’il enquête sur l’incident et propose de travailler avec SushiSwap.

« En supposant que 8a ET ne restitue pas les fonds. Nous avons demandé à notre avocat [Stephen Palley] a déposé une plainte IC3 auprès du FBI », a déclaré Delong.

Ars a vu le solde du portefeuille de l’attaquant tomber au cours des dernières heures, indiquant que les fonds changent de mains. Transactions récentes (1, 2) montrent le « Miso Front End Exploiter » restituant la devise volée à SushiSwap dans le pool de la société appelée « Opération multisig. « 

Il n’est pas rare que les attaquants et les cybercriminels restituent les fonds volés à leur propriétaire légitime par crainte des conséquences de l’application de la loi, comme nous l’avons vu au cours de la période de 600 millions de dollars de Poly Network.

Mais comment l’attaquant a-t-il eu accès à GitHub ?

Selon SushiSwap, l’entrepreneur voyou AristoK3 a poussé un engagement de code malveillant 46da2b4420b34dfba894e4634273ea68039836f1 au magasin Sushi « miso-studio ». Comme le référentiel semble être privé, GitHub renvoie une erreur 404 « introuvable » pour ceux qui ne sont pas autorisés à afficher le référentiel. Alors, comment le « contractant anonyme » a-t-il accédé au référentiel du projet en premier lieu ? Sûr qu’il doit y avoir un processus de vérification quelque part chez SushiSwap ?

Alors que n’importe qui peut enchérir pour ajouter au référentiel public de GitHub, seules les personnes sélectionnées peuvent accéder ou ajouter aux référentiels privés. Et même alors, les promesses devraient idéalement être vérifiées et approuvées par des membres de confiance du projet.

Passionné de crypto-monnaie Martin Krung, créateur du »attaque de vampire, « Je me demande si la demande d’extraction de l’attaquant a été correctement examinée avant de la fusionner avec le code source, et elle a obtenu un aperçu des précédents participants à SushiSwap :

Un rude une analyse (maintenant supprimé par SushiSwap uniquement avec le soutien ici) compilé par SushiSwap tente de suivre le ou les attaquants et fait référence à plusieurs identités numériques. SushiSwap pense que l’utilisateur de Twitter AristoK3 a géré le Twitter lié à eratos1122, bien que la réponse de ce dernier ne soit pas concluante. « C’est vraiment fou… Supprimez-le et dites ‘désolé’ à tout le monde… Sinon, je vais partager tout le projet MISO [sic] (Vous savez très bien sur quoi j’ai travaillé sur le projet MISO),  » a répondu eratos1122.

Parce que certaines des identités numériques mentionnées dans l’analyse ne sont toujours pas confirmées, Ars s’abstient de les mentionner jusqu’à ce que plus d’informations soient disponibles. Nous avons contacté Delong et les agresseurs présumés pour en savoir plus. Nous attendons leurs réponses.