Super Sushi Samurai - 当事情变得复杂

Super Sushi Samurai - 安全性 - 审计

还可以用下列语言阅读本文:

en - zh

当你忙着玩食物时,有人偷走了你的午餐。

基于 Blast L2 的游戏《Super Sushi Samurai(SSS)》上线后不久,就因合约漏洞遭受攻击,损失了 480 万美元,价格暴跌 99.9%。

Spreek在3月21日 14:00 (UTC) 左右发出警报,Super Sushi Samurai 团队在几分钟内做出回应,表示他们已经暂停代币转移功能,并进行调查。

经过半小时对仔细复盘后,Super Sushi Samurai 团队对该漏洞进一步发表声明:

我们被攻击了,这与铸造代币有关。我们仍在研究代码。代币被铸造并出售给有限合伙人。

今年早些时候,Arbitrum网络上的Gamma Strategies 也遭遇了相似的铸币漏洞攻击,导致 其蒙受类似损失。

Super Sushi Samurai 的代码经过审计,但未能识别代码中的无限铸币漏洞。

这些协议和审计公司在将来会审计出相似的漏洞吗?还是会继续忽视然后遭受相似的攻击?

图片来源:SpreekSuper Sushi SamuraiCoffeexcoinSudo

Super Sushi Samurai LP 由于代币合约中的一个严重错误而被黑客攻击,该错误允许用户只需将全部余额转移到自己的地址,即可将其代币余额翻倍。

问题源于合约传输函数中的编码监督。转移代币时,合约会从发送者的余额中减去该金额,然后将其添加到接收者的余额中。但是,如果发件人和收件人是同一地址,则合约无法计算扣除的金额,导致余额增加一倍,而不是保持不变。

这个可利用的漏洞使攻击者能够反复转移代币,然后将其余额翻倍,并最终出售未经授权的代币,导致该项目损失 480 万美元。

攻击者只花了大约一个小时就将35 美元变成了 460 万美元。利润相当可观不是吗?

攻击者合约:

0xDed85d83Bf06069c0bD5AA792234b5015D5410A9

攻击者地址:0x6a89a8c67b5066d59bf4d81d59f70c3976facd0a

攻击交易1:0x80012bf784b83baaf28f5549a9f233cae5f70be7afcd8f594dc757d431ed93c4

攻击交易2:0x62e6b906bb5aafdc57c72cd13e20a18d2de3a4a757cd2f24fde6003ce5c9f2c6

攻击交易3:0xac3400e3d536ac23c10fdd2c06e1faf8d5de5b797df8433e9b5ab74b102a4e35

然而,资金可能还有找回的希望。挪用资金的人发来消息称,这是一次白帽攻击。他们提供了联系方式的详细信息,并表示用户应该获得补偿。该项目表示联系上该黑客。

Verichains负责审计Super Sushi Murai的代码,但并没有审计出该漏洞,最终让拥有无限铸币权限漏洞的合约上线。

不停的审计,不停的黑客攻击。是时候开始对审计公司进行审计了吗?

在Super Sushi Samurai黑客攻击事件发生后,加密货币社区必须反思彻底的安全审计的重要性,以及审计公司在确保用户资金安全方面的作用。

该事件引发了人们对当前审计有效性的担忧,因为该合约虽然经过了 Verichains 的审计,但仍然存在无限铸币权限漏洞。

该事件提醒项目和用户保持警惕,并确保践行最高的安全标准。

大众的目光和精力应集中于提高智能合约开发标准和建立全行业的最佳实践。

加密货币行业可能是时候考虑执行更严格的审计要求,并建立更好的机制来识别和解决智能合约中的漏洞了。

通过共同努力开发更强大的安全措施,并提高审计过程的透明度,加密货币社区可以营造一个让用户充满信心和安全感的投资环境。

此外,Super Sushi Samurai事件应该成为重新评估项目和审计公司之间关系的催化剂。

虽然Super Sushi Samurai的结果仍不确定,但攻击者声称自己是白帽黑客,并提出向受影响的用户提供补偿,但这是一个重新评估和改善加密货币行业整体安全状况的契机。

分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。

您可能也喜欢...

COMPOUNDER FINANCE - REKT

c3pr - 审计 - 跑路

rekt收割机有办法让人开口说话。在最后关头,当总锁仓量接近零,回撤变得难以忍受时,一个姓名不详的人物进入了聊天室。跟随我们记者的脚步调查Compounder Finance1200万美元跑路事件。

更多