Una subasta de NFT en la plataforma de lanzamiento de tokens SushiSwap ha sido supuestamente hackeada por más de $3 millones de dólares en Ethereum
La plataforma de tokens de SushiSwap llamada MISO fue supuestamente atacada el jueves, y el hacker robó 864,8 Ethereum, aproximadamente $3 millones de dólares a precios actuales.
SushiSwap es una de las principales plataformas de intercambio descentralizado (DEX) del mundo y rival de Uniswap, con un volumen de operaciones de más de $495 millones de dólares en las últimas 24 horas, según CoinGecko.
Como se describe en el sitio web del proyecto, MISO es «un conjunto de contratos inteligentes de código abierto creados para facilitar el proceso de lanzamiento de un nuevo proyecto en el intercambio SushiSwap.»
Según el director de tecnología de SushiSwap, Joseph Delong, MISO fue víctima de un ataque a la cadena de suministro, en el que un contratista anónimo con el nombre de GitHub, AristoK3, inyectó un código malicioso en la interfaz de la plataforma y sustituyó el monedero de la subasta por su propia dirección.
El mes pasado, samczsun, un investigador de seguridad de la empresa de capital riesgo Paradigm, descubrió una vulnerabilidad mientras examinaba el código del contrato inteligente de la venta de tokens BitDAO en la plataforma MISO.
El investigador dijo que la vulnerabilidad podría haber provocado una pérdida de unos $350 millones de dólares.
La venta concluyó sin ningún incidente, recaudando $365 millones de dólares en el proceso. Sin embargo, fue necesario que el equipo de BitDAO finalizara manualmente la subasta de tokens para neutralizar la posible amenaza.
¿Se conoce la identidad del hacker?
SushiSwap afirma que hay razones para creer que el hacker es un usuario de Twitter @eratos1122, que «ha hecho trabajos con Yearn.Finance y se acercó a muchos otros proyectos.»
La subasta NFT explotada en cuestión es la de temática automovilística Jay Pegs Auto Mart, que ya ha sido corregida.
Según el explorador de la blockchain de Ethereum, Etherscan, que ha identificado la dirección compartida por Delong como la implicada en el exploit MISO, el ataque se produjo a las 12:04 pm hora del Este del jueves.
No es la primera vez que MISO se encuentra con un problema similar. Sin embargo, en una ocasión anterior, el equipo de la plataforma salió airoso.
Sin embargo, el perfil de Twitter al que Delong ha enlazado muestra una cuenta de GitHub diferente, no AristoK3 como afirma SushiSwap.
Delong añadió que SushiSwap pidió a las plataformas de intercambio de criptomonedas FTX y Binance que compartieran la información de conocimiento del cliente (know-your-customer, KYC) del atacante, «pero se han resistido en este asunto que requiere tiempo.»
«Recomiendo que prueben su propia interfaz de usuario para identificar los exploits desde el principio», dijo Delong.
También afirmó que SushiSwap dio instrucciones al abogado de la empresa, Stephen Palley, para que presentara una denuncia ante el FBI si los fondos robados no se devolvían antes de las 8 de la mañana, hora del este, del viernes.