SushiSwap MISO 遭软件供应链攻击，价值300万美元的以太坊被盗

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

SushiSwap 是一个平台驱动型去中心化金融 (DeFi) 平台，其最新服务MISO 在今年年初上线，可使项目在Sushi 网络上发布自己的令牌。

攻击者干扰或劫持软件制造流程，插入恶意代码，导致制成品的大量客户受影响时就会发生软件供应链攻击。当用于软件构建中的代码库或个体组件受污染时、软件更新二进制被“木马化”时、代码签名证书被盗时、甚至当提供软件即服务的服务器受陷时就会发生软件供应链攻击。因此，成功的软件供应链攻击能够造成更广泛的影响和破坏。

在MISO案例中，Delong 表示，“攻击者插入自己的钱包地址，在拍卖创建阶段取代了auctionWallet。“借此，攻击者盗取了864.8个以太坊，约折合300万美元。

Delong 表示，目前仅有一家汽车市场的拍卖遭利用，受影响的拍卖已修复。最终的拍卖金额和被盗的以太坊数量一致。

SushiSwap 表示，恶意合约方 ArisoK3 将恶意提交 46da2b4420b34dfba894e4634273ea68039836f1 推送到Sushi 的 “miso-studio” 仓库。由于该仓库是私有仓库，因此 GitHub对越权访客抛出404 “未找到”错误。那么，“匿名合约方“如何获得对项目仓库的访问权限？SushiSwap 应该在某个位置设置了审查进程。

尽管任何人都可为GitHub 公开库做贡献，但仅有少数人能够访问或为私有仓库做贡献。即便如此，在理想情况下，提交也应当得到项目可信成员的审查和许可。

密币追随者 Martin Krung是“吸血鬼攻击（对依赖于资产流动性协议的攻击）“的创造者，他认为攻击者的 pull 请求在并入代码库之前应该已得到审计，但贡献者反馈称并不存在”代码所有权“。

SushiSwap 编译了一份粗略的分析，用于追踪攻击者并对多个数字化身份进行了引用。分析认为 GitHub 用户 AristoK3 和推特上昵称为 eratos1122 的用户有关，但后者的回复无法确认这一点。Eratos1122 回复称，“太疯狂了。请删除[报告]并向所有人道歉。否则，我将分享所有的MISO项目。“

目前，分析中提到的数字身份尚未得到验证，攻击者身份不明，该公司也尚未置评。