De acuerdo con varias revisiones de seguridad en Twitter, una falla inteligente en el contrato en el protocolo de finanzas descentralizadas (DeFi) SushiSwap resultó en más de $ 3 millones en pérdidas en las primeras horas del XNUMX de abril.
Las empresas de seguridad de Blockchain, Certik Alert y Peckshield, informaron un ejercicio poco común asociado con la operación de aprobación en el contrato Router Processor 2 de Sushi, un contrato inteligente que agrega liquidez comercial de varias fuentes y determina el valor más rentable para cambiar dinero. En cuestión de horas, el error resultó en $3.3 millones en pérdidas.
Al parecer, el @SushiSwap El contacto RouterProcessor2 tiene un error de autorización asociado que genera una falta de >$3.3M (alrededor de 1800 eth). @0xSifu.
Probablemente hayas consentido https://t.co/E1YvC6VZsPpor favor *CANCELAR* LO ANTES POSIBLE!
Una instancia hackear TX: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
- PeckShield Inc. (@peckshield) Abril 9, 2023
Después Según DefiLlama, el desarrollador seudónimo 0xngmi, el hack solo debería afectar a los usuarios que han intercambiado el protocolo hace cuatro días.
El desarrollador jefe de sushi, Jared Gray, instó a los clientes a revocar los permisos de todos los contratos del protocolo. "El contrato RouteProcessor2 de Sushi tiene un error de aprobación. Revoque la autorización lo antes posible. Estamos trabajando con equipos de seguridad para solucionar el problema", señaló. A lista de contratos en GitHub con cadenas de bloques completamente diferentes que requieren revocación para reparar el problema.
Hemos confirmado la restauración de más de 300 ETH de los fondos robados de CoffeeBabe of Sifu. Estamos involucrados con el grupo de Lido con respecto a 700 ETH adicionales.
— Jared Gray (@jaredgrey) Abril 9, 2023
Horas después del incidente, Gray recurrió a Twitter para anunciar que una "gran parte de los fondos en cuestión" se había recuperado a través de un proceso de seguridad de sombrero blanco. “Hemos confirmado la restauración de más de 300 fondos ETH robados de CoffeeBabe de Sifus. Estamos involucrados con el grupo de Lido con respecto a 700 ETH adicionales".
El grupo de sushi tuvo un fin de semana ajetreado. El 8 de abril, Gray y su profesional legal hicieron comentarios sobre la citación actual de la Comisión de Cambio y Valores de EE. UU. (SEC).
“La investigación de la SEC es una investigación privada de investigación que busca averiguar si ha habido o no alguna violación de las pautas legales federales de valores. Según nuestros datos, la SEC no ha llegado (hasta el momento) a la conclusión de que alguien relacionado con Sushi haya violado las leyes de valores de EE. UU.", dijo.
Gray afirma estar cooperando con la investigación. En respuesta a la citación, el 21 de marzo se propuso un fondo de protección autorizado en el foro de discusión sobre la gobernanza del sushi.
Diario: Las auditorías criptográficas y las recompensas por errores están dañadas: esta es la forma correcta de repararlas