聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
SushiSwap 是一个平台驱动型去中心化金融 (DeFi) 平台,其最新服务MISO 在今年年初上线,可使项目在Sushi 网络上发布自己的令牌。
攻击者干扰或劫持软件制造流程,插入恶意代码,导致制成品的大量客户受影响时就会发生软件供应链攻击。当用于软件构建中的代码库或个体组件受污染时、软件更新二进制被“木马化”时、代码签名证书被盗时、甚至当提供软件即服务的服务器受陷时就会发生软件供应链攻击。因此,成功的软件供应链攻击能够造成更广泛的影响和破坏。
在MISO案例中,Delong 表示,“攻击者插入自己的钱包地址,在拍卖创建阶段取代了auctionWallet。“借此,攻击者盗取了864.8个以太坊,约折合300万美元。
Delong 表示,目前仅有一家汽车市场的拍卖遭利用,受影响的拍卖已修复。最终的拍卖金额和被盗的以太坊数量一致。
SushiSwap 表示,恶意合约方 ArisoK3 将恶意提交 46da2b4420b34dfba894e4634273ea68039836f1 推送到Sushi 的 “miso-studio” 仓库。由于该仓库是私有仓库,因此 GitHub对越权访客抛出404 “未找到”错误。那么,“匿名合约方“如何获得对项目仓库的访问权限?SushiSwap 应该在某个位置设置了审查进程。
尽管任何人都可为GitHub 公开库做贡献,但仅有少数人能够访问或为私有仓库做贡献。即便如此,在理想情况下,提交也应当得到项目可信成员的审查和许可。
密币追随者 Martin Krung是“吸血鬼攻击(对依赖于资产流动性协议的攻击)“的创造者,他认为攻击者的 pull 请求在并入代码库之前应该已得到审计,但贡献者反馈称并不存在”代码所有权“。
SushiSwap 编译了一份粗略的分析,用于追踪攻击者并对多个数字化身份进行了引用。分析认为 GitHub 用户 AristoK3 和推特上昵称为 eratos1122 的用户有关,但后者的回复无法确认这一点。Eratos1122 回复称,“太疯狂了。请删除[报告]并向所有人道歉。否则,我将分享所有的MISO项目。“
目前,分析中提到的数字身份尚未得到验证,攻击者身份不明,该公司也尚未置评。
https://arstechnica.com/information-technology/2021/09/cryptocurrency-launchpad-hit-by-3-million-supply-chain-attack/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
相关推荐: 安全工程师最详细学习和职业规划路线(书籍推荐和导图下载)
作者:华章尹老师 来源:大数据DT(ID:hzdashuju) 网络安全行业热火朝天,但我们很少看到这个领域相关职业路线的规划,这一方面是由于这个行业还比较年轻,还没有完全建立职业路径,另一方面也是因为高端职位以前比较少,很少有人到达顶峰,所以难以总结。 但随…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论