El director de tecnología de SushiSwap dice que la plataforma MISO de la compañía ha sido atacada por un ataque a la cadena de suministro de software. SushiSwap es una plataforma de finanzas descentralizadas (DeFi) impulsada por la comunidad que permite a los usuarios intercambiar, ganar, prestar, pedir prestado y aprovechar activos de criptomonedas, todo desde un solo lugar. La oferta más reciente de Sushi, Minimal Initial SushiSwap Oferta (MISO), lanzada a principios de este año, es una plataforma de lanzamiento de tokens que permite a los proyectos lanzar sus propios tokens en la red de Sushi.
A diferencia de las criptomonedas que necesitan una cadena de bloques nativa y una base sólida, los tokens DeFi son una alternativa más fácil de implementar, ya que pueden funcionar en una cadena de bloques existente. Por ejemplo, cualquiera puede crear sus propios «tokens digitales» sobre la cadena de bloques de Ethereum sin tener que recrear una nueva criptomoneda por completo.
El atacante roba $ 3 millones en Ethereum a través de un compromiso de GitHub
En un hilo de Twitter hoy, el CTO de SushiSwap, Joseph Delong, anunció que una subasta en la plataforma de lanzamiento de MISO había sido secuestrada a través de un ataque a la cadena de suministro. Un «contratista anónimo» con el identificador de GitHub AristoK3 y acceso al repositorio de código del proyecto había enviado una confirmación de código malicioso que se distribuyó en la interfaz de la plataforma.
Un ataque a la cadena de suministro de software ocurre cuando un atacante interfiere o secuestra el proceso de fabricación de software para insertar su código malicioso, de modo que una gran cantidad de consumidores del producto terminado se vean afectados negativamente por las acciones del atacante. Esto puede suceder cuando las bibliotecas de código o los componentes individuales utilizados en una compilación de software están contaminados, cuando los archivos binarios de actualización de software están «troyanizados», cuando se roban los certificados de firma de código o incluso cuando se viola un servidor que proporciona software como servicio. Por lo tanto, en comparación con una brecha de seguridad aislada, los ataques exitosos a la cadena de suministro producen un impacto y un daño mucho más generalizados.
En el caso de MISO, Delong dice que «el atacante insertó su propia dirección de billetera para reemplazar la SubastaCartera en la creación de la subasta»:
El tweet anterior se eliminó, pero está disponible aquí.
A través de este exploit, el atacante pudo canalizar 864.8 monedas Ethereum, alrededor de $ 3 millones, en su billetera.
Hasta ahora, sólo la subasta de un mercado de automóviles (1, 2) ha sido explotado en la plataforma, según Delong, y todas las subastas afectadas han sido reparadas. El monto final de la subasta se alinea con la cantidad de monedas de Ethereum robadas.
SushiSwap ha solicitado los registros de Conozca a su cliente del atacante de los intercambios de criptomonedas Binance y FTX en un esfuerzo por identificar al atacante. Binance dijo públicamente que está investigando el incidente y se ofreció a trabajar con SushiSwap.
«Suponiendo que los fondos no sean devueltos antes de las 8 a.m. ET. Hemos instruido a nuestro abogado [Stephen Palley] presentar una queja IC3 ante el FBI», dijo Delong.
Ars ha visto caer el saldo de la billetera del atacante en las últimas horas, lo que indica que los fondos están cambiando de manos. Transacciones recientes (1, 2) muestran al «Miso Front End Exploiter» devolviendo la moneda robada a SushiSwap en el grupo de la compañía llamado «Operation Multisig».
No es raro que los atacantes y los ciberdelincuentes devuelvan los fondos robados a su propietario legítimo por temor a las repercusiones de las fuerzas del orden, como vimos en el atraco de $600 millones de Poly Network.
Pero, ¿cómo obtuvo el atacante acceso a GitHub?
Según SushiSwap, el contratista deshonesto AristoK3 envió el código malicioso 46da2b4420b34dfba894e4634273ea68039836f1 al repositorio «miso-studio» de Sushi. Como el repositorio parece ser privado, GitHub arroja un error 404 «no encontrado» para aquellos que no están autorizados a ver el repositorio. Entonces, ¿cómo obtuvo el «contratista anónimo» acceso al repositorio del proyecto en primer lugar? Seguramente debe haber un proceso de investigación en algún lugar de SushiSwap.
Aunque cualquiera puede ofrecer contribuir a un repositorio público de GitHub, solo personas seleccionadas pueden acceder o contribuir a los privados. E incluso entonces, idealmente, los compromisos deberían ser verificados y aprobados por miembros de confianza del proyecto.
El entusiasta de las criptomonedas Martin Krung, creador del «ataque de vampiros», se preguntó si la solicitud de extracción del atacante se revisó correctamente antes de fusionarse con el código base, y recibió información de los colaboradores:
He visto relaciones públicas con más de 40 archivos cambiados que se aprobaron instantáneamente. No hay propiedad del código.
— adamazad.eth ᵍᵐ 🪐 (@adamzazad) 17 de septiembre de 2023
Un análisis aproximado (ahora eliminado por SushiSwap pero respaldado aquí) compilado por SushiSwap intenta rastrear a los atacantes y hace referencia a múltiples identidades digitales. SushiSwap cree que el usuario de GitHub AristoK3 está asociado con el identificador de Twitter eratos1122, aunque la respuesta de este último no es concluyente. «Esto es realmente una locura… Por favor, bórrenlo y digan ‘lo siento’ a todos… Si no, voy a compartir todo el proyecto MISO [sic] que tengo (sabes muy bien lo que he trabajado en el proyecto MISO)» respondió eratos1122.
Debido a que algunas de las identidades digitales mencionadas en el análisis siguen sin verificarse, Ars se abstiene de mencionarlas hasta que haya más información disponible. Nos comunicamos con Delong y los presuntos atacantes para obtener más información. Estamos esperando sus respuestas.
Actualizar: reciente de Delong Pío y el saldo actualizado de la billetera confirma que el atacante devolvió los fondos a MISO.
