SushiSwap Approval Bug Leads To $3.3 Million Exploit

Перевидано Платоном

читають: 0

SushiSwap approval bug leads to $3.3 million exploit PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Помилка в смарт-контракті на протоколі децентралізованих фінансів (DeFi) SushiSwap призвела до збитків понад 3 мільйони доларів рано ввечері 9 квітня, згідно з кількома звітами безпеки в Twitter.

Компанії безпеки блокчейну Certik Alert і Peckshield опублікували повідомлення про незвичайну діяльність, пов’язану з функцією затвердження в контракті Sushi's Router Processor 2 — розумному контракті, який агрегує торгову ліквідність з кількох джерел і визначає найвигіднішу ціну для обміну монетами. За кілька годин помилка призвела до збитків на 3.3 мільйона доларів.

Здається, @SushiSwap Контакт RouterProcessor2 має помилку, пов’язану із схваленням, яка призводить до втрати >3.3 млн доларів США (приблизно 1800 eth) від @0xSifu.

Якщо ви схвалили https://t.co/E1YvC6VZsP, будь ласка *ВІДКЛИКАТИ* якнайшвидше!

Один приклад hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q

- PeckShield Inc. (@peckshield) Квітень 9, 2023

За на думку псевдонімного розробника DefiLlama 0xngmi, злом має вплинути лише на користувачів, які змінили протокол протягом останніх чотирьох днів.

Sushi’s head developer Jared Grey urged users to revoke permissions for all contracts on the protocol. “Sushi’s RouteProcessor2 contract has an approval bug; please revoke approval ASAP. We’re working with security teams to mitigate the issue,” he noted. A список of contracts on GitHub with different blockchains requiring revocation has been created to address the problem.

Ми підтвердили повернення понад 300 ETH від CoffeeBabe of Sifu, викрадених коштів. Ми зв’язуємося з командою Lido щодо ще 700 ETH.

— Джаред Грей (@jaredgrey) Квітень 9, 2023

Через кілька годин після інциденту Грей оголосив у Твіттері, що «значну частину постраждалих коштів» було повернуто за допомогою процесу безпеки whitehat. «Ми підтвердили повернення понад 300 ETH від CoffeeBabe of Sifu, вкрадених коштів. Ми контактуємо з командою Lido щодо ще 700 ETH».

The Sushi’s community has had an intense weekend. On April 8, Grey and his counsel provided comments on the recent subpoena from the United States Securities and Exchange Commission (SEC).

«Розслідування SEC — це закрите розслідування з метою встановлення фактів, яке намагається визначити, чи були якісь порушення федеральних законів про цінні папери. Наскільки нам відомо, SEC (на момент написання цієї статті) не зробила жодних висновків про те, що будь-хто, пов’язаний із Sushi, порушив федеральні закони США про цінні папери», — заявив він.

Grey claims to be cooperating with the investigation. A legal defense fund in response to the subpoena was proposed on Sushi’s governance forum в березні 21.

Журнал: Криптоаудити та винагороди за помилки порушені: ось як їх виправити