Uniswap投資機構Paradigm挽救Sushi平台的3.5億美元！社群成員：以太坊是最友善社群

交易所 Bybit 所發起的 BitDAO，於 8/16 在 SushiSwap 的 IDO 平台 MISO 進行代幣發行，而風投機構 Paradigm 研究合夥人 Samczsun 發現荷蘭拍賣的合約中存在 3.5 億美元的漏洞，並聯手多位白帽駭客讓約 10.9 萬顆的以太幣沒有被攻擊的風險。

Samczsun 更在推特表示，這很有可能是「史上最大的白帽駭客救援行動。」

3.5 億美元的合約漏洞

Samczsun 在文中指出，在一系列檢查合約的過程中，如提交函數、審視拍賣管理功能、訪問權限控制等等，他發現「InitMarket」及「initAuction」缺少訪問權限控制，並難以相信 SushiSwap 團隊會犯下如此明顯的錯誤。

Samczsun 表示，漏洞允許攻擊者重複使用同一筆以太幣參與拍賣 (免費出價)，且任何超過代幣拍賣硬頂上限的交易，都將在尚未取消交易的情況下被退款，且即便拍賣已達硬頂上限，合約也不會拒絕交易。

若以此手法重複進行攻擊，將耗盡合約中所有資產，這價值 3.5 億美金。

救援行動

Samczsun 聯繫了 SushiSwap 開發團隊 Joseph Delong、Mudit、Keno、Omakase，以及 Paradigm 成員 Dan Robinson、Georgios 等人參與救援行動。

其救援方案包括：

1. 不管合約，並希望沒人發現漏洞
2. 透過漏洞搶救資金，可能以 Flashbots 隱藏交易
3. 買光未售出代幣並即刻完成拍賣，需要管理員權限

經討論後方案三為可行方案，雖然過程中仍遭遇許多問題，最後決定在拍賣中設置積分列表，以驗證合約是否有足夠以太幣匹配，假設有人試圖利用漏洞，也能檢測出有人發送比合約資產更大量的以太幣，並取消交易。

最終拍賣順利完成，Samczsun 指出，他花了半小時發現漏洞、20 分鐘聯絡團隊、30 分鐘討論，並在 3 小時內修復漏洞，僅用了 5 小時即拯救了 3.5 億美元資金，但他更希望的是漏洞根本從未出現過。

他強調，隨著代碼庫複雜性的增加，多個安全機制的組合反而可能衍生漏洞，並感謝本次事件中的所有參與者。

以太坊的友善生態

Paradigm 早在 2019 年就對 Uniswap 進行投資，雖然 SushiSwap 是其競爭對手，Paradigm 在發現可能實現大規模攻擊的漏洞時仍給予協助。

SushiSwap 亞洲負責人 AG 也向鏈新聞表示「非官方」意見：

感謝 Samczsun，先前 Uniswap 創辦人 Hayden 曾說以太坊是他所見最友善的社群，大家樂於幫助而非只是互相競爭，現在 SushiSwap 是真正體驗到這種感覺。

不過 SushiSwap 並沒有對漏洞發表看法。而 Hayden 則是在推特轉發了 Samczsun 的文章，並表示 v3 的路徑完全規避了這種相同的漏洞。