sadswan266
New member
|08/08/2020
Sushiswap, một trao đổi phi tập trung (DEX) được xây dựng trên blockchain Ethereum, đã được tìm thấy có một lỗ hổng quan trọng có thể được khai thác để thực hiện các cuộc tấn công chi tiêu kép.
Lỗ hổng nằm ở cách hệ thống quản trị của Sushiswap cho phép các chủ sở hữu mã thông báo ủy thác quyền bầu cử của họ cho một thực thể khác.Nếu một người dùng giữ các mã thông báo này sau đó sẽ chuyển chúng cho người khác, người được ủy quyền vẫn sẽ giữ quyền quản trị của họ.Người giữ mã thông báo thứ hai sau đó có thể ủy thác quyền bầu cử của họ cho người khác, v.v., nhân hiệu quả sức mạnh bỏ phiếu của một cá nhân.
Lỗi là do thực tế là việc chuyển giao các mã thông báo phi chính phủ cũng dẫn đến các thông số ủy quyền được giữ lại và nó có thể là kết quả của sự kết hợp mã từ các dự án khác nhau.
Hợp đồng quản trị của Sushiswap phần lớn là một ngã ba của các hợp đồng quản trị YAM, chúng là một ngã ba của các hợp đồng.Tuy nhiên, một cái nhìn về mã nguồn SushisWap trên GitHub cho thấy hợp đồng mã thông báo cho DEX này chỉ sửa đổi chức năng "Chuyển nhượng" từ việc thực hiện hợp đồng ERC-20 tiêu chuẩn từ OpenzePPelin.
Trong một cuộc trò chuyện với Cointelegraph, Giám đốc điều hành FTX và người dẫn đầu Sushiswap hiện tại Sam Bankman đã xác nhận sự tồn tại của lỗi.Tuy nhiên, ông lưu ý rằng "đó không phải là vấn đề cấp bách đối với Sushi" vì các tính năng quản trị chưa được kích hoạt.
Phát hiện lỗi trước khi nó được phát hành trực tiếp có nghĩa là nhóm phát triển có thể làm việc để tìm giải pháp để khắc phục nó.Bankman-Fried tin rằng vấn đề có thể có thể khắc phục được mà không phải di chuyển dự án sang các hợp đồng mới, nhưng nhóm đang "vẫn đang xem xét điều đó".
Thật thú vị, Sushiswap đã được nhiều công ty xem xét và kiểm toán để đưa dự án này ra thị trường.Đây sẽ không phải là lần đầu tiên kiểm toán không phát hiện ra các vấn đề với dự án, nhấn mạnh sự cần thiết của toàn bộ cộng đồng DECI để phát triển các thực tiễn tốt nhất để đảm bảo hợp đồng thông minh.
Bản thân Sushiswap hiện đang quay cuồng với sự sụp đổ của người sáng lập ẩn danh "Thoát khỏi" với một mã thông báo trị giá 27 triệu đô la trị giá 27 triệu đô la vào thời điểm đó.
Người giới thiệu:
* [SushisWap Bug có thể cho phép các cuộc tấn công hai lần] (https://cointelegraph.com/news/sushiswap-bug-could-wallow-double-spend-attacks)
* [Người sáng lập Sushiswap thoát ra với 27 triệu đô la Devfund] (https://cointelegraph.com/news/sushiswap-opounder-exits-with-27-million-devfund)
=======================================
| 08/31/2020
SushiSwap, a decentralized exchange (DEX) built on the Ethereum blockchain, has been found to have a critical vulnerability that could be exploited to carry out double-spend attacks.
The vulnerability lies in the way that SushiSwap's governance system allows token holders to delegate their voting power to another entity. If a user who holds these tokens then transfers them to someone else, the authorized person will still retain their governance rights. The second token holder can then delegate their voting power to someone else, and so on, effectively multiplying the voting power of a single individual.
The bug is caused by the fact that the transfer of non-governance tokens also results in the delegation parameters being retained, and it may be the result of the combination of code from different projects.
SushiSwap's governance contracts are largely a fork of the YAM governance contracts, which are themselves a fork of the Compound contracts. However, a look at the SushiSwap source code on Github suggests that the token contract for this DEX only modifies the "transfer" function from the implementation of the standard ERC-20 contract from OpenZeppelin.
In a conversation with Cointelegraph, FTX CEO and current SushiSwap lead Sam Bankman-Fried confirmed the existence of the bug. However, he noted that "it's not an urgent issue for sushi" because the governance features have not yet been activated.
Detecting the bug before it was released live means that the development team can work to find a solution to fix it. Bankman-Fried believes that the problem may be fixable without having to migrate the project to new contracts, but the team is "still considering that."
Interestingly, SushiSwap has been reviewed and audited by multiple companies in the rush to get this project to market. This will not be the first time that an audit has failed to detect problems with a project, highlighting the need for the entire DeFi community to develop best practices for securing smart contracts.
SushiSwap itself is currently reeling from the fallout of its anonymous founder "exiting" with a "Devfund" worth $27 million worth of tokens at the time.
References:
* [SushiSwap Bug Could Allow Double-Spend Attacks](https://cointelegraph.com/news/sushiswap-bug-could-allow-double-spend-attacks)
* [SushiSwap Founder Exits With $27 Million Devfund](https://cointelegraph.com/news/sushiswap-founder-exits-with-27-million-devfund)
Sushiswap, một trao đổi phi tập trung (DEX) được xây dựng trên blockchain Ethereum, đã được tìm thấy có một lỗ hổng quan trọng có thể được khai thác để thực hiện các cuộc tấn công chi tiêu kép.
Lỗ hổng nằm ở cách hệ thống quản trị của Sushiswap cho phép các chủ sở hữu mã thông báo ủy thác quyền bầu cử của họ cho một thực thể khác.Nếu một người dùng giữ các mã thông báo này sau đó sẽ chuyển chúng cho người khác, người được ủy quyền vẫn sẽ giữ quyền quản trị của họ.Người giữ mã thông báo thứ hai sau đó có thể ủy thác quyền bầu cử của họ cho người khác, v.v., nhân hiệu quả sức mạnh bỏ phiếu của một cá nhân.
Lỗi là do thực tế là việc chuyển giao các mã thông báo phi chính phủ cũng dẫn đến các thông số ủy quyền được giữ lại và nó có thể là kết quả của sự kết hợp mã từ các dự án khác nhau.
Hợp đồng quản trị của Sushiswap phần lớn là một ngã ba của các hợp đồng quản trị YAM, chúng là một ngã ba của các hợp đồng.Tuy nhiên, một cái nhìn về mã nguồn SushisWap trên GitHub cho thấy hợp đồng mã thông báo cho DEX này chỉ sửa đổi chức năng "Chuyển nhượng" từ việc thực hiện hợp đồng ERC-20 tiêu chuẩn từ OpenzePPelin.
Trong một cuộc trò chuyện với Cointelegraph, Giám đốc điều hành FTX và người dẫn đầu Sushiswap hiện tại Sam Bankman đã xác nhận sự tồn tại của lỗi.Tuy nhiên, ông lưu ý rằng "đó không phải là vấn đề cấp bách đối với Sushi" vì các tính năng quản trị chưa được kích hoạt.
Phát hiện lỗi trước khi nó được phát hành trực tiếp có nghĩa là nhóm phát triển có thể làm việc để tìm giải pháp để khắc phục nó.Bankman-Fried tin rằng vấn đề có thể có thể khắc phục được mà không phải di chuyển dự án sang các hợp đồng mới, nhưng nhóm đang "vẫn đang xem xét điều đó".
Thật thú vị, Sushiswap đã được nhiều công ty xem xét và kiểm toán để đưa dự án này ra thị trường.Đây sẽ không phải là lần đầu tiên kiểm toán không phát hiện ra các vấn đề với dự án, nhấn mạnh sự cần thiết của toàn bộ cộng đồng DECI để phát triển các thực tiễn tốt nhất để đảm bảo hợp đồng thông minh.
Bản thân Sushiswap hiện đang quay cuồng với sự sụp đổ của người sáng lập ẩn danh "Thoát khỏi" với một mã thông báo trị giá 27 triệu đô la trị giá 27 triệu đô la vào thời điểm đó.
Người giới thiệu:
* [SushisWap Bug có thể cho phép các cuộc tấn công hai lần] (https://cointelegraph.com/news/sushiswap-bug-could-wallow-double-spend-attacks)
* [Người sáng lập Sushiswap thoát ra với 27 triệu đô la Devfund] (https://cointelegraph.com/news/sushiswap-opounder-exits-with-27-million-devfund)
=======================================
| 08/31/2020
SushiSwap, a decentralized exchange (DEX) built on the Ethereum blockchain, has been found to have a critical vulnerability that could be exploited to carry out double-spend attacks.
The vulnerability lies in the way that SushiSwap's governance system allows token holders to delegate their voting power to another entity. If a user who holds these tokens then transfers them to someone else, the authorized person will still retain their governance rights. The second token holder can then delegate their voting power to someone else, and so on, effectively multiplying the voting power of a single individual.
The bug is caused by the fact that the transfer of non-governance tokens also results in the delegation parameters being retained, and it may be the result of the combination of code from different projects.
SushiSwap's governance contracts are largely a fork of the YAM governance contracts, which are themselves a fork of the Compound contracts. However, a look at the SushiSwap source code on Github suggests that the token contract for this DEX only modifies the "transfer" function from the implementation of the standard ERC-20 contract from OpenZeppelin.
In a conversation with Cointelegraph, FTX CEO and current SushiSwap lead Sam Bankman-Fried confirmed the existence of the bug. However, he noted that "it's not an urgent issue for sushi" because the governance features have not yet been activated.
Detecting the bug before it was released live means that the development team can work to find a solution to fix it. Bankman-Fried believes that the problem may be fixable without having to migrate the project to new contracts, but the team is "still considering that."
Interestingly, SushiSwap has been reviewed and audited by multiple companies in the rush to get this project to market. This will not be the first time that an audit has failed to detect problems with a project, highlighting the need for the entire DeFi community to develop best practices for securing smart contracts.
SushiSwap itself is currently reeling from the fallout of its anonymous founder "exiting" with a "Devfund" worth $27 million worth of tokens at the time.
References:
* [SushiSwap Bug Could Allow Double-Spend Attacks](https://cointelegraph.com/news/sushiswap-bug-could-allow-double-spend-attacks)
* [SushiSwap Founder Exits With $27 Million Devfund](https://cointelegraph.com/news/sushiswap-founder-exits-with-27-million-devfund)
