SushiSwap 首席技術官表示,該公司的 MISO 平臺近日受到了軟體供應鏈的攻擊。SushiSwap 是一個社群驅動的去中心化金融(DeFi)平臺,方便使用者交換、賺取、借出、借用和利用加密貨幣資產。今年早些時候,Sushi 的最新產品 Minimal Initial SushiSwap Offering(MISO)是一個代幣啟動平臺,讓專案在 Sushi 網路上推出自己的代幣。
與需要原生區塊鏈和實質性基礎工作的加密貨幣硬幣不同,DeFi 代幣是一種更容易實現的替代方案,因為它們可以在現有區塊鏈上執行。例如,任何人都可以在以太坊區塊鏈之上建立自己的“數字代幣”,而不必完全重新建立一個新的加密貨幣。
SushiSwap 首席技術官 Joseph Delong 今天釋出推文表示,MISO launchpad 上的一次拍賣透過供應鏈攻擊被劫持。一個擁有 GitHub 賬號 AristoK3 並能進入專案程式碼庫的“匿名承包商”推送了一個惡意程式碼提交,並在平臺的前端分發。
攻擊者干擾或劫持軟體製造過程,插入他們的惡意程式碼,使大量成品的消費者受到攻擊者行為的不利影響時,就會發生軟體供應鏈攻擊。當軟體構建中使用的程式碼庫或單個元件被汙染,軟體更新二進位制檔案被“木馬化”,程式碼簽名證書被盜,甚至當提供軟體即服務的伺服器被攻破,都可能發生這種情況。因此,與孤立的安全漏洞相比,成功的供應鏈攻擊會產生更廣泛的影響和破壞。
透過這個供應鏈攻擊,攻擊者賺取了 864.8 個以太坊幣,按照目前的價格計算大約為 300 萬美元。Delong 表示目前該平臺上只有一個汽車超市拍賣被利用,受影響的拍賣都已打上補丁。拍賣的最終金額與被盜的以太坊幣數量一致。
