Поділитися цією статтею
Білі капелюхи щойно знешкодили потенційну крадіжку на 350 мільйонів доларів на Sushiswap
«Чад аф», — прокоментував рятувальну акцію ONE користувач Twitter.
Автор Muyao Shen
Група людей у Крипто спільноті, очолювана партнером дослідницької компанії Paradigm у сфері Крипто Сем WED, можливо, щойно завадив платформі SushiSwap для збору коштів Miso втратити понад 350 мільйонів доларів США ефіру, виявивши та виправивши помилку на платформі всього за п’ять годин.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути всі розсилки
Завдяки спільним зусиллям Sushiswap каже, що жодних коштів не було втрачено.
За словами а пост опублікований Sushiswap у понеділок, Сем WED і його колеги Георгіос Константопулос і Деніел Робінсон – усі з Крипто компанії Paradigm із Сан-Франциско – звернулися до команди SUSHI , щоб попередити їх про «вразливість» на «голландському аукціоні». договір на платформі Miso.
На голландському аукціоні інвестори розміщують ставки відповідно до максимальної суми, яку вони готові заплатити. Після збору ставок переможцем оголошується найвища ставка. Після завершення аукціону невдалі пропозиції повертаються власникам.
Вразливість
Команда Sushiswap і WED Парадигми, в окремих дописах обидва визначили, що, по суті, вразливість була зосереджена навколо можливості групувати кілька викликів до commitEth і повторно використовувати один msg.value через кожне зобов’язання, дозволяючи зловмиснику робити ставки на аукціоні безкоштовно.
«Об'єднання партії з commitEth (функція на голландському аукціоні Miso) створює подвійну проблему, коли користувач може обидва поставити зобов’язання вище, ніж «msg.value’ таким чином витрачаючи будь-які непродані токени та додатково витрачаючи зібрані кошти за контрактом як відшкодування, якщо аукціон досяг максимального зобов’язання», – написала команда SushiSwap у дописі.
«Помилка виникла, коли функція зручності для адрес гаманців взаємодіяла з механізмом відшкодування аукціонного контракту», — пояснив Дункан Таунсенд, технічний директор Immunefi, платформи винагород за помилки для децентралізованих Фінанси (DeFi), яка також була залучена для вирішення проблеми.
«Користувачі можуть завищити ставку та отримати відшкодування різниці між поточною ставкою та поданою сумою, але відшкодування може бути повторене, щоб розірвати договір аукціону», — додав Таунсенд.
«Усі майбутні заплановані аукціони з використанням конкретних голландських аукціонних контрактів із зобов’язаннями щодо ETH були призупинені, доки не буде повторно розгорнуто оновлену версію», — написала команда SushiSwap.
Висновок: розумні контракти складні
Наприкінці свого повідомлення в блозі WED зазначив, що ONE із найважливіших уроків, які можна винести з цього Цікаве , є те, що навіть «безпечні компоненти можуть об’єднатися, щоб зробити щось небезпечне».
Смарт-контракти, які лежать в основі DeFi, є складними, поєднуючи «складні» «блоки Lego» для створення нових контрактів і протоколів. Але спосіб об’єднання цих блоків може мати ненавмисні та катастрофічні наслідки, навіть якщо програмісти використовують безпечні за своєю суттю окремі компоненти.
«Цей інцидент показує, що навіть безпечні компоненти на рівні контракту можуть бути змішані таким чином, що призведе до небезпечної поведінки на рівні контракту. Тут немає універсальних порад, як «перевірка-ефект-взаємодія», тому вам просто потрібно знати, які додаткові взаємодії запроваджують нові компоненти», — сказав WED .
Подія відбулася одразу після найбільшого експлойту DeFi на сьогоднішній день, який стався минулого тижня: міжланцюговий сайт DeFi POLY Network піддався нападу, втративши криптовалюти на суму понад 600 мільйонів доларів через помилку.
Однак у випадку з уразливістю Sushiswap багато хто з Крипто звернулися до соціальних мереж, щоб похвалити п’ятигодинну колективну рятувальну роботу під керівництвом дослідницького підрозділу Paradigm.
«Чад аф», — написав користувач Twitter @KadenZipfel («чад» зазвичай відноситься до «альфа-самця» на поширеній мові інтернет-сленгу).
«Абсолютний король», інший користувач Twitter, @BanhbaoCrypto, написав. «Супергерой Defi, якого ми всі потребуємо, але T заслуговуємо!»
Більше для вас
KuCoin captured a record share of centralised exchange volume in 2025, with more than $1.25tn traded as its volumes grew faster than the wider crypto market.
Що варто знати:
- KuCoin recorded over $1.25 trillion in total trading volume in 2025, equivalent to an average of roughly $114 billion per month, marking its strongest year on record.
- This performance translated into an all-time high share of centralised exchange volume, as KuCoin’s activity expanded faster than aggregate CEX volumes, which slowed during periods of lower market volatility.
- Spot and derivatives volumes were evenly split, each exceeding $500 billion for the year, signalling broad-based usage rather than reliance on a single product line.
- Altcoins accounted for the majority of trading activity, reinforcing KuCoin’s role as a primary liquidity venue beyond BTC and ETH at a time when majors saw more muted turnover.
- Even as overall crypto volumes softened mid-year, KuCoin maintained elevated baseline activity, indicating structurally higher user engagement rather than short-lived volume spikes.
Більше для вас
Зломщик Bitfinex Ілля Ліхтенштейн приписує Закон про перший крок Трампа за дострокове звільнення з в’язниці
Американський хакер визнав провину у викраденні та відмиванні майже 120 000 біткоїнів з криптовалютної біржі Bitfinex у 2016 році.
Що варто знати:
- Ілля Ліхтенштейн, засуджений до п’яти років за крадіжку та відмивання майже 120 000 біткойнів, був звільнений після 14 місяців ув’язнення завдяки Закону про перший крок.
- Ліхтенштейн висловив подяку за дострокове звільнення та підтвердив свою відданість кібербезпеці, одночасно стикаючись із змішаними реакціями в інтернеті.
- Злом Bitfinex у 2016 році призвів до викрадення 119 754 BTC, при цьому правоохоронні органи встигли повернути близько 94 000 BTC, а 25 000 BTC залишаються зниклими.
Головне
