Por Angel Di Matteo   @shadowargel

La brecha estaba presente en uno de los contratos inteligentes para la subasta de activos. Los desarrolladores corrigieron las fallas presentes en SushiSwap en un lapso de cinco horas.

***

Un grupo de personas lideradas por el socio de Paradigm, Sam Sung, detectó una brecha de seguridad en el protocolo DeFi SushiSwap y evitó que la plataforma perdiese más de USD $350 millones en Ethereum (ETH).

Así lo reveló un informe publicado por SushiSwap el día de ayer, en el cual informaron que Sam Sun y sus colegas de Paradigm se pusieron en contacto con los directivos del proyecto, justamente para informales sobre una vulnerabilidad presente en uno de sus contratos, específicamente en el denominado “Dutch Auction” (subasta holandesa) en la plataforma Miso.

La vulnerabilidad en el contrato de SushiSwap

En dicho contrato, los inversionistas ponen las ofertas más altas que están dispuestos a pagar por otros activos, y una vez concluida la subasta, se devuelven los fondos a aquellos que no resultaron ganadores.

Sin embargo, Sun y su equipo identificaron una vulnerabilidad que podían aprovechar los atacantes, la cual les permitía entrar a la subasta y ofertar de forma totalmente gratuita, sin consignar el equivalente al monto ofertado por los activos correspondientes.

Al respecto, el equipo de SushiSwap comentó:

“La combinación de lotes con commitEth (una función en la subasta holandesa de Miso) crea un problema de dos frentes en el que un usuario puede hacer una oferta superior a msg.value, lo que agota los tokens no vendidos y, además, drena los fondos recaudados en el contrato como reembolsos si la subasta ha alcanzado el valor máximo ofertado”

Detallando más al respecto, el CTO de Immunefi, Duncan Townsend, destacó que el error antes descrito tuvo lugar cuando cierta función para las direcciones de la billetera interactuó con el mecanismo de reembolso del contrato inteligente, lo cual les permitiría ofertar y captar los fondos devueltos, repitiendo el proceso para agotar el capital allí alojado.

En vista de lo ocurrido, el equipo de SushiSwap indicó que todas las subastas bajo los contratos holandeses están suspendidas hasta que se implemente una versión actualizada.

Énfasis en la seguridad y en la buena programación

Pese a que la historia tuvo un buen desenlace y no hubo robos a la plataforma SushiSwap, Sun destacó la complejidad de los contratos inteligentes y visibilizó que aunque no hayan errores de código, dos funciones seguras podrían desencadenar un error con consecuencias catastróficas.

Al respecto, Sun señaló:

“Este incidente muestra que incluso los componentes seguros a nivel de contrato se pueden mezclar de una manera que produzca un comportamiento inseguro… No hay ningún consejo general para aplicar aquí, como ‘comprobar-efecto-interacción’, por lo que solo se necesita estar al tanto de las interacciones adicionales que están introduciendo los nuevos componentes”.

La rápida acción de Sun y su equipo generó muchas reacciones positivas en la comunidad de usuarios y entusiastas, quienes felicitaron a las personas que trabajaron para corregir este error, ya que en un lapso de cinco horas lograron cerrar las brechas de seguridad.

Lecturas recomendadas

Fuente: CoinDesk, NewsBTC

Versión de Angel Di Matteo / DiarioBitcoin

Imagen de Unsplash

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.

Artículos Relacionados