Bug de aprovação do SushiSwap leva a exploração de US$ 3.3 milhões

Um bug em um contrato inteligente no protocolo de finanças descentralizadas (DeFi) SushiSwap levou a perdas de mais de US$ 3 milhões nas primeiras horas de 9 de abril, de acordo com vários relatórios de segurança no Twitter. 

As empresas de segurança Blockchain Certik Alert e Peckshield publicaram sobre uma atividade incomum relacionada à função de aprovação no contrato Router Processor 2 da Sushi - um contrato inteligente que agrega liquidez comercial de várias fontes e identifica o preço mais favorável para troca de moedas. Em poucas horas, o bug levou a perdas de US$ 3.3 milhões.

Parece que a @SushiSwap O contato RouterProcessor2 tem um bug relacionado à aprovação, que leva à perda de > $ 3.3 milhões (cerca de 1800 eth) de @0xSifu.

Se você aprovou https://t.co/E1YvC6VZsP, por favor *REVOGUE* o mais rápido possível!

Um exemplo de hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q

- PeckShield Inc. (@peckshield) 9 de abril de 2023

Segundo Para o desenvolvedor pseudônimo DefiLlama 0xngmi, o hack deve afetar apenas os usuários que trocaram o protocolo nos últimos quatro dias.

O desenvolvedor-chefe do Sushi, Jared Gray, pediu aos usuários que revogassem as permissões para todos os contratos do protocolo. “O contrato RouteProcessor2 do Sushi tem um bug de aprovação; por favor, revogue a aprovação o mais rápido possível. Estamos trabalhando com equipes de segurança para mitigar o problema”, observou. A Lista de contratos no GitHub com diferentes blockchains que exigem revogação foram criados para resolver o problema.

Confirmamos a recuperação de mais de 300 ETH dos fundos roubados de CoffeeBabe de Sifu. Estamos em contato com a equipe do Lido a respeito de mais 700 ETH.

— Jared Gray (@jaredgrey) 9 de abril de 2023

Horas após o incidente, Gray foi ao Twitter para anunciar que uma “grande parte dos fundos afetados” havia sido recuperada por meio de um processo de segurança whitehat. “Confirmamos a recuperação de mais de 300 ETH dos fundos roubados de CoffeeBabe de Sifu. Estamos em contato com a equipe do Lido sobre mais 700 ETH.”

A comunidade do Sushi teve um fim de semana intenso. Em 8 de abril, Gray e seu advogado forneceu comentários na recente intimação da Comissão de Valores Mobiliários dos Estados Unidos (SEC).

“A investigação da SEC é um inquérito não público de apuração de fatos que tenta determinar se houve alguma violação das leis federais de valores mobiliários. Até onde sabemos, a SEC não (até o momento em que este livro foi escrito) concluiu que qualquer pessoa afiliada ao Sushi violou as leis federais de valores mobiliários dos Estados Unidos”, afirmou.

Gray afirma estar cooperando com a investigação. Um fundo de defesa legal em resposta à intimação foi proposto no fórum de governança do Sushi em março 21.

Revista: Auditorias de criptografia e recompensas de bugs estão quebradas: veja como corrigi-los

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://cointelegraph.com/news/sushiswap-approval-bug-leads-to-3-3-million-exploit