MISO di SushiSwap subisce un attacco da 3 milioni di dollari

Binance criptovalute defi hack sicurezza token
Ultimo aggiornamento:
Autore
Autore
Sead Fadilpašić
Ultimo aggiornamento:
Perché puoi fidarti di noi
Da oltre dieci anni il team di Cryptonews è al lavoro quotidiano per fornire ai propri lettori approfondimenti e guide su tutte le tematiche del settore delle criptovalute. I nostri esperti ed analisti hanno una vasta esperienza nell’analisi di mercato e sulle tecnologie blockchain. Ci impegniamo a mantenere elevati i nostri standard editoriali, concentrandoci sull'accuratezza dei fatti e su un reporting equilibrato e terzo in tutte le aree, dalle criptovalute alla blockchain, ai nuovi progetti e sviluppi tecnologici. La nostra presenza costante nel settore riflette il nostro impegno nel fornire informazioni rilevanti in un mondo, quello delle risorse digitali, che è sempre più in evoluzione. Scopri di più su Cryptonews.
DisclaimerSiamo fautori di un rapporto basato sulla più totale trasparenza con i nostri lettori. Ed è per questo che teniamo a sottolineare che alcuni dei nostri contenuti potrebbero includere link di affiliazione, da cui poter guadagnare una commissione attraverso queste partnership.
Attacco
Fonte: Adobe/Negro Elkha

Il furto da parte di un fornitore sembra essere apparso come un altro modo per attaccare i progetti crypto, poiché un front-end di lancio di token è stato attaccato con un codice dannoso, con conseguente furto di oltre 3 milioni di dollari.

Joseph Delong, Chief Technology Officer (CTO) presso l’exchange decentralizzato SushiSwap, ha twittato che il launchpad del token MISO costruito su SushiSwap è stato attaccato. Secondo le sue parole, si trattava di un attacco alla catena di approvvigionamento, con un fornitore anonimo, che utilizza  “AristoK3” come nome utente di GitHub, iniettando un codice dannoso nel front-end di Miso.

Per quanto riguarda l’identità dietro questo nome, Delong ha affermato che “hanno motivo di credere” che sia l’utente Twitter “eratos 1122” che afferma di essere uno “sviluppatore blockchain/web/mobile”. Cryptonews.com ha contattato eratos 1122 per un commento.

Il CTO ha inoltre affermato che sono stati rubati 864,8 ETH , per un valore attualmente superiore a 3,06 milioni di dollari. L’indirizzo che ha condiviso – nomi “Miso Front End Exploiter” – riflette questo, con la transazione avvenuta circa sedici ore prima del momento in cui scriviamo.

Detto semplicemente, “front end” si riferisce all’interfaccia utente, ovvero agli elementi con cui gli utenti interagiscono. Un attacco alla catena di approvvigionamento (noto anche come attacco alla catena del valore o di terze parti) coinvolge una persona che si infiltra in un sistema attraverso un partner o un fornitore esterno che vi ha accesso. Gli attacchi alla catena di fornitura del software, se hanno successo, consentono all’hacker di assumere il controllo di un progetto o della sua infrastruttura, mentre lo passano all’indirizzo del contratto sotto il suo controllo.

Per Delong, che ha fornito ulteriori dettagli sull’attacco, c’è stato un solo contratto sfruttato, quello per la vendita di token non fungibili (NFT) di JayPegsAutoMart. “L’hacker ha inserito il proprio indirizzo del wallet per sostituire l’astaWallet alla creazione dell’asta”, ha spiegato, aggiungendo: “Le aste interessate sono state tutte corrette”.

Il team ha contattato gli exchange di criptovalute FTX e Binance, ha affermato, chiedendo le informazioni know-your-customer (KYC) dell’hacker, “ma hanno resistito su questa questione urgente”.

Binance ha risposto a Delong, affermando che “anche il nostro team sta indagando sull’incidente da parte nostra e vorrebbe connettersi direttamente con te per saperne di più”.

Inoltre, il CTO afferma che l’hacker (sebbene il loro numero non sia ancora noto) ha lavorato con yearn.finance (YFI) e ha anche “avvicinato molti altri progetti” – tutti i quali sta esortando a controllare i rispettivi front-end per exploit .

Delong ha affermato che il team presenterà una denuncia all’FBI se i fondi non verranno restituiti entro mezzogiorno di oggi, ora UTC.

 

Necessità di mitigare gli attacchi

 

Detto questo, questo tipo di attacco sembra essere qualcosa per cui i progetti in questo settore nascente – e in misura, i loro utenti / holder – devono essere vigili e consapevoli, e non essere cullati in un falso senso di sicurezza.

“I rischi associati a un attacco alla catena di approvvigionamento non sono mai stati così alti, a causa di nuovi tipi di attacchi, della crescente consapevolezza pubblica delle minacce e della maggiore supervisione da parte delle autorità di regolamentazione”, ha affermato Maria Korolov, scrittrice di CSO. “Nel frattempo, gli hacker hanno più risorse e strumenti a loro disposizione che mai, creando una tempesta perfetta”.

Per un famoso trader di criptovalute, noto come @DegenSpartan, questo incidente è stato “un altro triste promemoria che siamo esploratori di frontiera e che tutto potrebbe accadere a noi e ai nostri soldi”.

“transmissions11 (t11s)” di Rari Capital rileva che questo tipo di attacco potrebbe essere “il primo di molti a venire”, aggiungendo: “Ogni sito react.js dipende letteralmente da centinaia di migliaia di package, ognuno dei quali dipende da un centinaio almeno. Basta un aggiornamento dannoso del sub-package ed è finita.”

Secondo t11s, potrebbero già esserci modi per mitigare questo tipo di attacco. Detto questo, sembra che il mondo in via di sviluppo delle criptovalute si stia aprendo a nuovi tipi di attacchi, sottolineando la necessità di vigilanza ad ogni passo, considerando quanto è in gioco.

Nel frattempo, SUSHI è sceso dell’8% nell’ultimo giorno (alle 9:11 UTC), mentre è aumentato del 28% nell’ultima settimana.
___

Seguici sui nostri canali social: 

Telegram: https://t.me/ItaliaCryptonews

Twitter: https://twitter.com/cryptonews_IT
 _______

Clicca sui nostri link di affiliazione:

– Per acquistare le tue criptovalute su PrimeXBT, la piattaforma di trading di nuova generazione

– Per proteggere le tue criptovalute su portafogli come Ledger e Trezor

– Per effettuare transazioni in modo anonimo con NordVPN
 

Per saperne di più:
Cream Finance Suffers USD 25M Flash Loan Attack 
Tether Frozen in Poly Hack Returned to Owners, Fuelling Centralization Debate 

Crypto & DeFi Custody Best Practices – A Workshop 
Anonymous Builders: Discussing Pseudonymity in DeFi 

Altri articoli in evidenza

Rassegna Stampa
Bitget espande l’ecosistema BGB con l’integrazione di Morph Chain e un pool di liquidità da $1,1 milioni su Bulbaswap
Massimo De Vincenti
Massimo De Vincenti
2025-01-13 17:35:59
News
PEPE sfonda il triangolo simmetrico: potrebbe arrivare a 1 dollaro?
Gaia Tommasi
Gaia Tommasi
2025-01-07 17:00:00
Crypto News in numbers
editors
Elenco degli autori Altri Autori
2M+
Utenti attivi mensili nel mondo
250+
Guide e Recensioni
8
Anni di presenza sul mercato
70
Autori da tutto il mondo