נראה כי גניבת הקבלן החשופה הופיעה כדרך נוספת לתקוף פרויקטים של מטבעות קריפטוגרפיים דרך הקצה הקדמי של פלטפורמת ההשקה של האסימון, קוד זדוני, שנבע מהתקיפה אובדן של יותר מ-3 מיליון דולר בנכסים.
ג'וזף דלונג, קצין טכנולוגיה ראשי (CTO) של הרכזת המבוזרת SushiSwap, צייץ בטוויטר כי משטח השיגור אסימון MISO שנבנה על SushiSwap הותקף. לדבריו, זו הייתה מתקפת שרשרת אספקה, עם קבלן אנונימי, שמשתמש במזהה GitHub 'AristoK3', ומחדיר קוד זדוני ל-frontend של Miso.
גם חברים לא מתחבאים. יהיה צעד גרוע…
— אנטי-חומר 🎩🐧💰 ◎ (@RealBoardwalk) ספטמבר 17, 2021
באשר לזהות מאחורי המתקפה הזו, דלונג אמר כי "יש להם סיבה להאמין" שמשתמש הטוויטר 'eratos 1122' הוא שאומר שהם "בלוקצ'יין/אינטרנט/מפתחים".
ה-CTO אמר עוד כי נגנב 864,8 ETH, המוערך כיום במעל 3,06 מיליון דולר. הכתובת ששיתף - היא שמה 'Miso Front End Exploiter' - משקפת זאת, כאשר העסקה התרחשה כשש עשרה שעות לפני מועד כתיבת שורות אלה.
במילים פשוטות, המתקפה הייתה על ה'חזית הקצה' שמתייחסת לממשק המשתמש, כלומר האלמנטים איתם משתמשים מקיימים אינטראקציה. התקפת שרשרת אספקה (הידועה גם בתור שרשרת ערך או התקפת צד שלישי) כוללת אדם החודר למערכת דרך שותף חיצוני או ספק שיש לו גישה אליה. התקפות שרשרת אספקת תוכנה, אם מצליחות, מאפשרות לתוקף להשתלט על פרויקט או על התשתית שלו כשהם עוברים לכתובת החוזה שבשליטתו.
פר דלונג, שסיפק פרטים נוספים על המתקפה, היה רק חוזה אחד מנוצל - מכירת האסימון הבלתי פעיל JayPegsAutoMart (NFT). "התוקף הזין את כתובת הארנק שלו כדי לעקוף את ארנק המכרז בעת יצירת המכרז", הסביר והוסיף, "המכירות הפומביות שבוצעו תוקנו".
הצוות פנה לבורסות מטבעות קריפטוגרפיים FTX ו-Binance, הוא אמר, וביקש את מידע הידע של התוקף (KYC), "אבל הם החזיקו מעמד בעניין הדחוף הזה".
Binance הגיב ל-Delong, והצהיר כי "הצוות שלנו חוקר גם את התקרית ורוצה לפנות אליך ישירות כדי ללמוד עוד".
יתר על כן, ה-CTO טוען כי התוקף (אם כי מספרם עדיין אינו ידוע) עשה עבודה עם yearn.finance (YFI) וגם "התמודד עם פרויקטים רבים אחרים" - את כולם הוא מבקש לאמת את החזיתות שלהם לחיפושים. .
דלונג אמר שהצוות יגיש תלונה ל-FBI אם הכספים לא יוחזרו עד היום בצהריים, שעון UTC.
עם זאת, נראה כי סוג זה של התקפה הוא משהו עבור פרויקטים בתעשייה המתהווה – ובהרחבה, משתמשי/מחזיקי המטבעות שלהם – להיות ערניים ומודעים, ולא להיות מושכים לשום תחושת ביטחון מזויפת.
"הסיכונים הכרוכים בהתקפת שרשרת אספקה מעולם לא היו גדולים יותר, עקב סוגים חדשים של התקפות, מודעות ציבורית גוברת לאיומים ופיקוח מוגבר על ידי הרגולטורים", אמרה מריה קורלוב, כותבת CSO. "בינתיים, לתוקפים יש יותר משאבים וכלים לרשותם מאי פעם, מה שיוצר סערה מושלמת".
עבור סוחר פופולרי במטבעות קריפטוגרפיים המכונה @DegenSpartan, התקרית הזו הייתה "עוד תזכורת קודרת לכך שאנחנו חוקרי גבולות והכל יכול לקרות לנו ולכסף שלנו."
ה-'transmissions11 (t11s)' של Rari Capital גילה שסוג ההתקפה הזה יכול להיות "הראשונה מבין רבות שיבואו", והוסיפו: "כל אתר react.js תלוי ממש במאות אלפי חבילות, שכל אחת מהן תלויה בכמה מאות בודדות. לפחות. עדכון אחד של תת-תת-תת-משנה זדוני וזהו. ”
לפי t11s, ייתכן שכבר יש דרכים למתן את סוג ההתקפה הזה. עם זאת, נראה שהעולם המתפתח של הקריפטוגרפיה פותח את עצמו לעוד וקטורי תקיפה, ומדגיש את הצורך בערנות בכל צעד, בהתחשב בכמה מונח על כף המאזניים.
בינתיים, SUSHI ירד ב-8% ביום הקודם (בשעה 9:11 בבוקר UTC), בעוד שהוא עלה ב-28% לעומת השבוע הקודם.