SushiSwap-hyväksyntävirhe johtaa 3.3 miljoonan dollarin hyväksikäyttöön

Virhe älykkäässä sopimuksessa hajautetun rahoituksen (DeFi) protokollassa SushiSwap johti yli 3 miljoonan dollarin tappioihin huhtikuun 9. päivän alussa useiden Twitterin tietoturvaraporttien mukaan. 

Lohkoketjuturvayritykset Certik Alert ja Peckshield julkaisivat epätavallisesta toiminnasta, joka liittyy Sushin Router Processor 2 -sopimuksen hyväksymistoimintoon – älykkääseen sopimukseen, joka kokoaa kaupan likviditeetin useista lähteistä ja tunnistaa edullisimman hinnan kolikoiden vaihtoon. Muutamassa tunnissa vika johti 3.3 miljoonan dollarin tappioihin.

Tuntuu @SushiSwap RouterProcessor2-kontaktissa on hyväksyntään liittyvä virhe, joka johtaa >3.3 miljoonan dollarin menetykseen (noin 1800 eth) @0xSifu.

Jos olet hyväksynyt https://t.co/E1YvC6VZsP, ole hyvä *REVOKE* ASAP!

Yksi esimerkki hakkerointi tx:stä: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q

- PeckShield Inc. (@peckshield) Huhtikuu 9, 2023

Mukaan DefiLlaman pseudonyymiselle kehittäjälle 0xngmi, hakkeroinnin pitäisi vaikuttaa vain käyttäjiin, jotka ovat vaihtaneet protokollaa viimeisten neljän päivän aikana.

Sushin pääkehittäjä Jared Gray kehotti käyttäjiä peruuttamaan kaikkien protokollan sopimusten käyttöoikeudet. "Sushin RouteProcessor2-sopimuksessa on hyväksyntävirhe; peruuta hyväksyntä ASAP. Työskentelemme turvallisuustiimien kanssa ongelman lieventämiseksi, hän huomautti. A lista Ongelman ratkaisemiseksi on luotu GitHubin sopimukset eri lohkoketjuilla, jotka edellyttävät peruuttamista.

Olemme vahvistaneet, että CoffeeBaben Sifun varastetuista varoista on saatu takaisin yli 300 ETH:ta. Olemme yhteydessä Lidon tiimiin liittyen 700 ETH:n lisäämiseen.

- Jared Gray (@jaredgrey) Huhtikuu 9, 2023

Tuntia tapahtuman jälkeen Gray ilmoitti Twitterissä, että "suuri osa vaikutuksen alaisina olevista varoista" oli saatu takaisin whitehat-tietoturvaprosessin kautta. "Olemme vahvistaneet saaneemme takaisin yli 300 ETH:n Sifun varastetuista varoista CoffeeBabesta. Olemme yhteydessä Lidon tiimiin koskien 700 ETH:ta lisää."

Sushi-yhteisöllä on ollut intensiivinen viikonloppu. 8. huhtikuuta Gray ja hänen neuvonsa antanut kommentteja Yhdysvaltain arvopaperi- ja pörssikomitean (SEC) äskettäisestä haasteesta.

"SEC:n tutkimus on ei-julkinen, faktatietotutkimus, jolla pyritään selvittämään, onko liittovaltion arvopaperilakeja rikottu. Tietojemme mukaan SEC ei ole (tämän kirjoituksen jälkeen) tehnyt johtopäätöksiä siitä, että kukaan Sushiin sidoksissa oleva henkilö olisi rikkonut Yhdysvaltain liittovaltion arvopaperilakeja", hän totesi.

Gray väittää olevansa yhteistyössä tutkinnan kanssa. Oikeuspuolustusrahasto vastauksena haasteeseen ehdotettiin Sushin hallintofoorumissa maaliskuussa 21.

Lehti: Salaustarkastukset ja bugipalkkiot ovat rikki: Näin voit korjata ne

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://cointelegraph.com/news/sushiswap-approval-bug-leads-to-3-3-million-exploit