I overensstemmelse med en række sikkerhedsanmeldelser på Twitter, resulterede en klog kontraktfejl i den decentraliserede finansprotokol (DeFi) SushiSwap i over $3 millioner i tab inden for de tidlige timer af den niende april.
Blockchain-sikkerhedsselskaber Certik Alert og Peckshield rapporterede om usædvanlig øvelse i forbindelse med godkendelsen, der opererer i Sushis Router Processor 2-kontrakt - en klog kontrakt, der samler køb og salg af likviditet fra en række kilder og bestemmer den mest omkostningseffektive værdi for at skifte kontanter. Inden for timer resulterede fejlen i 3.3 millioner dollars i tab.
Det ser ud til, at @SushiSwap RouterProcessor2-kontakten har en godkendelsesrelateret fejl, der fører til en mangel på >$3.3M (ca. 1800 eth). @0xSifu.
Du har sandsynligvis givet samtykke https://t.co/E1YvC6VZsPvenligst *ANNULLER* SÅ SNART SOM MULIGT!
Et eksempel hack TX: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
- PeckShield Inc. (@peckshield) April 9, 2023
Efter I overensstemmelse med DefiLlama, den pseudonyme udvikler 0xngmi, burde hacket udelukkende have en effekt på kunder, der har udvekslet protokollen inden nu 4 dage.
Sushi-chefudvikler Jared Gray opfordrede kunder til at tilbagekalde tilladelser til hele protokollens kontrakter. "Sushis RouteProcessor2-kontrakt har en godkendelsesfejl. Tilbagekald venligst godkendelsen så hurtigt som muligt. Vi arbejder med sikkerhedsgrupper for at reparere problemet," berømt han. EN liste af kontrakter på GitHub med helt andre blockchains, der kræver tilbagekaldelse, blev oprettet for at reparere problemet.
Vi har fået bekræftet gendannelsen af mere end 300 ETH fra CoffeeBabe af Sifus stjålne midler. Vi er involveret i Lidos gruppe vedrørende 700 ekstra ETH.
— Jared Gray (@jaredgrey) April 9, 2023
Få timer efter hændelsen tog Gray til Twitter for at annoncere {at en} "massiv del af de pågældende midler" var blevet inddrevet via et whitehat sikkerhedskursus. "Vi har fået bekræftet genoprettelsen af mere end 300 ETH-midler stjålet fra CoffeeBabe fra Sifus. Vi er involveret i Lidos gruppe vedrørende 700 ekstra ETH."
Sushigruppen havde en travl weekend. Den 8. april gav Gray og hans advokat feedback på den aktuelle stævning fra US Securities and Change Fee (SEC).
"SEC-undersøgelsen er en privat, faktaundersøgelse, der søger at finde ud af, om der har været nogen overtrædelser af føderale værdipapirers juridiske retningslinjer. Til den mest effektive af vores data har SEC (på nuværende tidspunkt) ikke nået en konklusion om, at nogen, der er relateret til Sushi, har overtrådt værdipapirlovgivningen i USA," sagde han.
Gray hævder at samarbejde med efterforskningen. Som svar på stævningen blev en autoriseret beskyttelsesfond foreslået den 21. marts på Sushi Governance-diskussionstavlen.
Journal: Crypto Audits and Bug Bounties Are Damaged: Her er den rigtige måde at reparere dem på
