公开的承包商盗窃似乎已成为攻击加密项目的另一种方式——因为令牌发射台前端受到恶意代码的攻击,导致超过300万美元被盗。去中心化交易所SushiSwap的首席技术官(CTO)JosephDelong在推特上表示,基于SushiSwap的MISO代币发射台遭到了攻击。按照他的说法,这是一次供应链攻击,一名匿名承包商使用GitHub句柄“AristoK3”,将恶意代码注入Miso的前端。
至于该手柄后面的身份,德隆说,他们“有理由相信”这是Twitter的用户eratos1122’谁认为他们是一个“Blockchain/网络/移动开发人员。”Cryptonews.com已联系了eratos1122征求意见。首席技术官进一步表示,ETH864.8被盗,目前价值超过306万美元。他分享的地址——名为“MisoFrontEndExploiter”——反映了这一点,交易发生在撰写本文之前大约16小时。
简单地说,“前端”是指用户界面,即用户与之交互的元素。供应链攻击(又名价值链或第三方攻击)涉及一个人通过可以访问系统的外部合作伙伴或供应商渗透到系统中。软件供应链攻击如果成功,将使攻击者能够控制项目或其基础设施,因为他们将其切换到他们控制下的合约地址。
根据提供攻击的更多详细信息的Delong,只有一份合同被利用——一份用于JayPegsAutoMart不可替代代币(NFT)销售的合同。“攻击者在拍卖创建时插入了他们自己的钱包地址以替换拍卖钱包,”他解释说,并补充说:“受影响的拍卖都已被修补。”
他说,该团队已经联系了加密货币交易所FTX和Binance,要求攻击者提供了解你的客户(KYC)的信息,“但他们在这个时间敏感的问题上拒绝了。”
币安回复德龙称,“我们的团队也在对事件进行调查,希望直接与您联系以了解更多信息。”此外,CTO声称攻击者(虽然他们的人数尚不清楚)已经与yearn.finance(YFI)合作,并且还“接触了许多其他项目”——他敦促检查他们各自的前端是否存在漏洞.
德龙表示,如果在今天UTC时间中午之前仍未归还资金,该团队将向FBI提出投诉。综上所述,这种类型的攻击似乎是这个新兴行业中的项目——以及在某种程度上,他们的用户/代币持有者——需要警惕和意识到的事情,而不是陷入任何虚假的安全感。
CSO的特约撰稿人MariaKorolov表示:“由于新型攻击、公众对威胁意识的增强以及监管机构监管的加强,与供应链攻击相关的风险从未如此高过。”“与此同时,攻击者拥有比以往任何时候都多的资源和工具,创造了一场完美的风暴。”
对于一位名为@DegenSpartan的受欢迎的加密货币交易员来说,这一事件是“另一个严峻的提醒,我们是前沿探索者,我们和我们的钱都可能发生任何事情。”RariCapital的’transmissions11(t11s)’发现这种类型的攻击可能是“众多攻击中的第一个”,并补充说:“每个react.js站点都依赖于数十万个包,每个包都依赖于几个至少一百。一个恶意的子子子包更新就结束了。”
根据t11s,可能已经有减轻这种攻击类型的方法。也就是说,似乎加密货币的发展中世界正在向更多的攻击媒介开放,强调需要对每一步保持警惕,并给出了多少风险。与此同时,SUSHI在过去一天(UTC时间9:11)下跌了8%,而在过去一周上涨了28%。
