SushiSwap 首席技術官表示,該公司的 MISO 平台近日受到了軟件供應鏈的攻擊。SushiSwap 是一個社區驅動的去中心化金融(DeFi)平台,方便用戶交換、賺取、借出、借用和利用加密貨幣資產。今年早些時候,Sushi 的最新產品 Minimal Initial SushiSwap Offering(MISO)是一個代幣啟動平台,讓項目在 Sushi 網絡上推出自己的代幣。
與需要原生區塊鏈和實質性基礎工作的加密貨幣硬幣不同,DeFi 代幣是一種更容易實現的替代方案,因為它們可以在現有區塊鏈上運行。例如,任何人都可以在以太坊區塊鏈之上創建自己的“數字代幣”,而不必完全重新創建一個新的加密貨幣。
SushiSwap 首席技術官 Joseph Delong 今天發布推文表示,MISO launchpad 上的一次拍賣通過供應鏈攻擊被劫持。一個擁有 GitHub 賬號 AristoK3 並能進入項目代碼庫的“匿名承包商”推送了一個惡意代碼提交,並在平台的前端分發。
攻擊者干擾或劫持軟件製造過程,插入他們的惡意代碼,使大量成品的消費者受到攻擊者行為的不利影響時,就會發生軟件供應鏈攻擊。當軟件構建中使用的代碼庫或單個組件被污染,軟件更新二進制文件被“木馬化”,代碼簽名證書被盜,甚至當提供軟件即服務的服務器被攻破,都可能發生這種情況。因此,與孤立的安全漏洞相比,成功的供應鏈攻擊會產生更廣泛的影響和破壞。
通過這個供應鏈攻擊,攻擊者賺取了 864.8 個以太坊幣,按照目前的價格計算大約為 300 萬美元。Delong 表示目前該平台上只有一個汽車超市拍賣被利用,受影響的拍賣都已打上補丁。拍賣的最終金額與被盜的以太坊幣數量一致。