اشکال تایید SushiSwap منجر به سوء استفاده 3.3 میلیون دلاری می شود

بر اساس چندین گزارش امنیتی در توییتر، یک اشکال در یک قرارداد هوشمند در پروتکل سوشی سواپ غیرمتمرکز مالی (DeFi) منجر به ضرر بیش از 3 میلیون دلاری در ساعات اولیه 9 آوریل شد. 

شرکت‌های امنیتی بلاک‌چین Certik Alert و Peckshield درباره یک فعالیت غیرمعمول مرتبط با عملکرد تأیید در قرارداد Sushi's Router Processor 2 پست کردند - یک قرارداد هوشمند که نقدینگی تجاری را از منابع مختلف جمع‌آوری می‌کند و مطلوب‌ترین قیمت را برای مبادله سکه‌ها مشخص می‌کند. در عرض چند ساعت، این باگ به ضرر 3.3 میلیون دلاری منجر شد.

به نظر می رسد SushiSwap مخاطب RouterProcessor2 دارای یک اشکال مرتبط با تایید است که منجر به از دست دادن بیش از 3.3 میلیون دلار ضرر (حدود 1800 Eth) از @0xSifu.

اگر تایید کرده اید https://t.co/E1YvC6VZsPلطفا در اسرع وقت *لغو* کنید!

یک نمونه هک tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q

- شرکت PeckShield (peckshield) آوریل 9، 2023

مطابق برای توسعه دهنده مستعار DefiLlama 0xngmi، این هک فقط باید بر کاربرانی تأثیر بگذارد که در چهار روز گذشته پروتکل را تعویض کرده اند.

جارد گری، توسعه‌دهنده اصلی Sushi از کاربران خواست تا مجوزهای تمام قراردادهای موجود در پروتکل را لغو کنند. قرارداد RouteProcessor2 Sushi دارای یک اشکال تایید است. لطفا تایید را در اسرع وقت لغو کنید. ما در حال کار با تیم های امنیتی برای کاهش این مشکل هستیم. آ فهرست قراردادهایی در GitHub با بلاک چین های مختلف که نیاز به لغو دارند برای رفع مشکل ایجاد شده است.

ما بازیابی بیش از 300ETH از وجوه دزدیده شده CoffeeBabe of Sifu را تایید کرده ایم. ما در ارتباط با 700 ETH بیشتر با تیم Lido در تماس هستیم.

- جرد گری (@jaredgrey) آوریل 9، 2023

ساعاتی پس از این حادثه، گری در توییتر اعلام کرد که "بخش بزرگی از وجوه آسیب دیده" از طریق یک فرآیند امنیتی Whitehat بازیابی شده است. ما بازیابی بیش از 300ETH را از CoffeeBabe وجوه دزدیده شده Sifu تایید کرده‌ایم. ما با تیم Lido در ارتباط با 700 ETH بیشتر در تماس هستیم.

جامعه سوشی ها آخر هفته شدیدی را پشت سر گذاشته است. در 8 آوریل، گری و مشاورش نظرات ارائه کرد در مورد احضاریه اخیر کمیسیون بورس و اوراق بهادار ایالات متحده (SEC).

"تحقیقات SEC یک تحقیق غیرعلنی و حقیقت یاب است که تلاش می کند تا مشخص کند که آیا نقض قوانین اوراق بهادار فدرال وجود داشته است یا خیر. تا آنجا که ما می دانیم، SEC (تا لحظه نگارش این مقاله) هیچ نتیجه ای مبنی بر اینکه کسی که به سوشی وابسته است قوانین اوراق بهادار فدرال ایالات متحده را نقض کرده است، نگرفته است.»

گری ادعا می کند که با تحقیقات همکاری می کند. صندوق دفاع قانونی در پاسخ به احضاریه در انجمن حکمرانی سوشی پیشنهاد شد در ماه مارس 21.

مجله: حسابرسی کریپتو و پاداش‌های باگ شکسته شده‌اند: در اینجا نحوه رفع آنها آورده شده است

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://cointelegraph.com/news/sushiswap-approval-bug-leads-to-3-3-million-exploit