查看原文
其他

SushiSwap MISO 遭软件供应链攻击,价值300万美元的以太坊被盗

AX SHARMA 代码卫士 2022-06-25

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

SushiSwap(“寿司“)公司的首席技术官 Joseph Delong表示该公司的 MISO 平台遭软件供应链攻击。一名GitHub 昵称为 AristoK3 的”匿名合约方“访问了该项目的代码库并推送了一个恶意代码 commit,使后者分发在该平台的前端。

SushiSwap 是一个平台驱动型去中心化金融 (DeFi) 平台,其最新服务MISO 在今年年初上线,可使项目在Sushi 网络上发布自己的令牌。

攻击者干扰或劫持软件制造流程,插入恶意代码,导致制成品的大量客户受影响时就会发生软件供应链攻击。当用于软件构建中的代码库或个体组件受污染时、软件更新二进制被“木马化”时、代码签名证书被盗时、甚至当提供软件即服务的服务器受陷时就会发生软件供应链攻击。因此,成功的软件供应链攻击能够造成更广泛的影响和破坏。

在MISO案例中,Delong 表示,“攻击者插入自己的钱包地址,在拍卖创建阶段取代了auctionWallet。“借此,攻击者盗取了864.8个以太坊,约折合300万美元。

Delong 表示,目前仅有一家汽车市场的拍卖遭利用,受影响的拍卖已修复。最终的拍卖金额和被盗的以太坊数量一致。


攻击者如何获得 GitHub 访问权限?


SushiSwap 表示,恶意合约方 ArisoK3 将恶意提交 46da2b4420b34dfba894e4634273ea68039836f1 推送到Sushi 的 “miso-studio” 仓库。由于该仓库是私有仓库,因此 GitHub对越权访客抛出404 “未找到”错误。那么,“匿名合约方“如何获得对项目仓库的访问权限?SushiSwap 应该在某个位置设置了审查进程。

尽管任何人都可为GitHub 公开库做贡献,但仅有少数人能够访问或为私有仓库做贡献。即便如此,在理想情况下,提交也应当得到项目可信成员的审查和许可。

密币追随者 Martin Krung是“吸血鬼攻击(对依赖于资产流动性协议的攻击)“的创造者,他认为攻击者的 pull 请求在并入代码库之前应该已得到审计,但贡献者反馈称并不存在”代码所有权“。

SushiSwap 编译了一份粗略的分析,用于追踪攻击者并对多个数字化身份进行了引用。分析认为 GitHub 用户 AristoK3 和推特上昵称为 eratos1122 的用户有关,但后者的回复无法确认这一点。Eratos1122 回复称,“太疯狂了。请删除[报告]并向所有人道歉。否则,我将分享所有的MISO项目。“

目前,分析中提到的数字身份尚未得到验证,攻击者身份不明,该公司也尚未置评。










推荐阅读
谷歌资助OSTIF审计8个重要开源项目,提升软件供应链安全
外汇交易所巨头 Travelex 遭攻击暂停服务,详情不明
Jenkins 内部服务器遭访问且被部署密币挖机





原文链接

https://arstechnica.com/information-technology/2021/09/cryptocurrency-launchpad-hit-by-3-million-supply-chain-attack/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存