ट्विटर पर कई सुरक्षा रिपोर्टों के अनुसार, विकेन्द्रीकृत वित्त (DeFi) प्रोटोकॉल SushiSwap में एक बुद्धिमान अनुबंध दोष के परिणामस्वरूप 3 अप्रैल के शुरुआती घंटों में $XNUMX मिलियन से अधिक का नुकसान हुआ।
ब्लॉकचैन सुरक्षा निगम सर्टिक अलर्ट और पेकशील्ड ने सुशी के राउटर प्रोसेसर 2 अनुबंध में अनुमोदन कार्य से संबंधित असामान्य अभ्यास की सूचना दी - एक बुद्धिमान अनुबंध जो कई स्रोतों से तरलता खरीदने और बेचने को एकत्रित करता है और नकदी बदलने के लिए सबसे अधिक लागत प्रभावी मूल्य निर्धारित करता है। घंटों के भीतर, त्रुटि के कारण $3.3 मिलियन का नुकसान हुआ।
यह प्रकट होता है @ सुशीवापस RouterProcessor2 संपर्क में एक प्राधिकरण संबंधित त्रुटि है जिसके कारण >$3.3M (लगभग 1800 eth) की कमी है। @0xसिफु.
आपने शायद सहमति दे दी है https://t.co/E1YvC6VZsPकृपया *रद्द करें* जितनी जल्दी हो सके!
एक उदाहरण हैक TX: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
- पेकशील्ड इंक (@peckshield) अप्रैल १, २०२४
बाद डेफिलामा के अनुसार, छद्म नाम डेवलपर 0xngmi, हैक केवल उन उपयोगकर्ताओं को प्रभावित करना चाहिए जिन्होंने पिछले चार दिनों में प्रोटोकॉल का आदान-प्रदान किया है।
सुशी के मुख्य डेवलपर जारेड ग्रे ने ग्राहकों से पूरे प्रोटोकॉल के अनुबंधों पर अनुमतियों को रद्द करने का आग्रह किया। "सुशी के रूटप्रोसेसर 2 अनुबंध में एक अनुमोदन त्रुटि है। कृपया जितनी जल्दी हो सके प्राधिकरण को रद्द करें। हम समस्या को ठीक करने के लिए सुरक्षा समूहों के साथ काम कर रहे हैं," उन्होंने कहा। ए सूची पूरी तरह से अलग ब्लॉकचेन के साथ GitHub पर अनुबंधों की समस्या को ठीक करने के लिए निरसन की आवश्यकता होती है।
हमने सिफू के चोरी हुए धन के कॉफीबेब से 300 से अधिक ईटीएच की वसूली की पुष्टि की है। हम 700 अतिरिक्त ईटीएच के संबंध में लीडो की टीम के साथ जुड़े हुए हैं।
- जारेड ग्रे (@jaredgrey) अप्रैल १, २०२४
घटना के कुछ घंटों बाद, ग्रे ने ट्विटर पर यह घोषणा करने के लिए ले लिया कि व्हाइटहैट सुरक्षा प्रक्रिया के माध्यम से "शामिल धन का एक बड़ा हिस्सा" वसूल किया गया था। “हमने सिफस के कॉफीबेब से चुराए गए 300 से अधिक ईटीएच फंडों की वसूली की पुष्टि की है। हम 700 अतिरिक्त ईटीएच से संबंधित लिडो के समूह से जुड़े हुए हैं।"
सुशी समूह का सप्ताहांत व्यस्त रहा। 8 अप्रैल को, ग्रे और उनके वकील ने यूएस सिक्योरिटीज एंड चेंज फी (एसईसी) से मौजूदा उपपोना पर प्रतिक्रिया दी।
"एसईसी जांच एक निजी, तथ्य-खोज जांच है जो यह पता लगाने की मांग करती है कि संघीय प्रतिभूति कानूनों का कोई उल्लंघन हुआ है या नहीं। हमारे सबसे प्रभावी डेटा के लिए, SEC (इस समय तक) इस निष्कर्ष पर नहीं पहुंचा है कि सुशी से संबंधित किसी ने भी अमेरिका के प्रतिभूति कानूनी दिशानिर्देशों का उल्लंघन किया है," उन्होंने कहा।
ग्रे ने जांच में सहयोग करने का दावा किया है। सम्मन के जवाब में, सुशी शासन चर्चा बोर्ड में 21 मार्च को एक कानूनी सुरक्षा कोष प्रस्तावित किया गया था।
जर्नल: क्रिप्टो ऑडिट और बग बाउंटी क्षतिग्रस्त हैं: यहां उन्हें ठीक करने का सही तरीका है
