SushiSwap-goedkeuringsbug leidt tot exploit van $ 3.3 miljoen

Een bug in een slim contract op het DeFi-protocol (Decentralized Finance) SushiSwap leidde in de vroege uren van 3 april tot meer dan $9 miljoen aan verliezen, volgens verschillende beveiligingsrapporten op Twitter. 

Blockchain-beveiligingsbedrijven Certik Alert en Peckshield hebben gepost over een ongebruikelijke activiteit met betrekking tot de goedkeuringsfunctie in Sushi's Router Processor 2-contract - een slim contract dat handelsliquiditeit uit meerdere bronnen samenvoegt en de gunstigste prijs identificeert voor het ruilen van munten. Binnen een paar uur leidde de bug tot een verlies van $ 3.3 miljoen.

Het lijkt erop dat de @BuienRadarNL RouterProcessor2-contactpersoon heeft een bug met betrekking tot goedkeuring, die leidt tot het verlies van > $ 3.3 miljoen verlies (ongeveer 1800 eth) van @0xSifu.

Als je hebt goedgekeurd https://t.co/E1YvC6VZsP, gelieve zo snel mogelijk *HERROEP*!

Een voorbeeld hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q

- PeckShield Inc. (@peckshield) 9 april 2023

Volgens Volgens de pseudonieme ontwikkelaar 0xngmi van DefiLlama zou de hack alleen van invloed moeten zijn op gebruikers die het protocol in de afgelopen vier dagen hebben ingewisseld.

Sushi’s hoofdontwikkelaar Jared Gray drong er bij gebruikers op aan om de toestemmingen voor alle contracten op het protocol in te trekken. “Sushi’s RouteProcessor2-contract bevat een goedkeuringsbug; trek de goedkeuring zo snel mogelijk in. We werken samen met beveiligingsteams om het probleem te verhelpen”, merkte hij op. A lijst Om het probleem aan te pakken, zijn er een aantal contracten op GitHub met verschillende blockchains gecreëerd die intrekking vereisen.

We hebben bevestigd dat we meer dan 300 ETH hebben teruggevonden van CoffeeBabe of Sifu's gestolen geld. We hebben contact met het team van Lido over 700 extra ETH.

— Jared Grijs (@jaredgrey) 9 april 2023

Uren na het incident kondigde Gray op Twitter aan dat een "groot deel van de getroffen fondsen" was teruggevonden via een whitehat-beveiligingsproces. “We hebben bevestigd dat we meer dan 300 ETH hebben teruggevonden van het gestolen geld van CoffeeBabe of Sifu. We hebben contact met het team van Lido over 700 extra ETH.”

De Sushi-gemeenschap heeft een intens weekend achter de rug. Op 8 april, Gray en zijn raadsman commentaar gegeven over de recente dagvaarding van de Amerikaanse Securities and Exchange Commission (SEC).

“Het onderzoek van de SEC is een niet-openbaar, feitenonderzoek dat probeert vast te stellen of er sprake is geweest van schendingen van de federale effectenwetten. Voor zover wij weten, heeft de SEC (op het moment van schrijven) geen conclusies getrokken dat iemand die gelieerd is aan Sushi de federale effectenwetten van de Verenigde Staten heeft geschonden”, verklaarde hij.

Gray beweert mee te werken aan het onderzoek. Een juridisch verdedigingsfonds als reactie op de dagvaarding werd voorgesteld op het bestuursforum van Sushi op maart 21.

Tijdschrift: Crypto-audits en bugpremies zijn verbroken: hier leest u hoe u ze kunt oplossen

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://cointelegraph.com/news/sushiswap-approval-bug-leads-to-3-3-million-exploit