In linea con una serie di recensioni sulla sicurezza su Twitter, una saggia falla contrattuale all'interno del protocollo di finanza decentralizzata (DeFi) SushiSwap ha provocato perdite per oltre 3 milioni di dollari nelle prime ore del XNUMX aprile.
Le società di sicurezza blockchain Certik Alert e Peckshield hanno riferito di un esercizio insolito associato all'operazione di approvazione nel contratto Sushi's Router Processor 2, un contratto saggio che aggrega l'acquisto e la vendita di liquidità da una serie di fonti e determina il valore più conveniente per cambiare denaro. Nel giro di poche ore, l'errore ha provocato perdite per 3.3 milioni di dollari.
Sembra che il @Sushi Swap Il contatto RouterProcessor2 ha un errore associato all'autorizzazione che porta a una mancanza di > $ 3.3 milioni (circa 1800 eth). @0xSifu.
Probabilmente hai acconsentito https://t.co/E1YvC6VZsPper favore *CANCELLA* IL PRIMA POSSIBILE!
Un'istanza hack TX: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
- PeckShield Inc. (@peckshield) 9 aprile 2023
Dopo shavasana, sedersi in silenzio; saluti; Secondo DefiLlama, lo sviluppatore pseudonimo 0xngmi, l'hacking dovrebbe colpire solo gli utenti che hanno scambiato il protocollo negli ultimi quattro giorni.
Lo sviluppatore capo di Sushi Jared Gray ha esortato i clienti a revocare le autorizzazioni sui contratti dell'intero protocollo. "Il contratto RouteProcessor2 di Sushi ha un errore di approvazione. Si prega di revocare l'autorizzazione il più rapidamente possibile. Stiamo lavorando con i gruppi di sicurezza per risolvere il problema", ha detto. UN stratagemma di contratti su GitHub con blockchain completamente diverse che richiedono la revoca è stato creato per riparare il problema.
Abbiamo confermato il ripristino di oltre 300 ETH dai fondi rubati di CoffeeBabe di Sifu. Siamo coinvolti con il gruppo di Lido riguardo a 700 ETH extra.
— Jared Grey (@jaredgrey) 9 aprile 2023
Ore dopo l'incidente, Gray si è rivolto a Twitter per annunciare {che una} "gran parte dei fondi in questione" era stata recuperata tramite un corso di sicurezza whitehat. “Abbiamo confermato il ripristino di oltre 300 fondi ETH rubati a CoffeeBabe di Sifus. Siamo coinvolti con il gruppo di Lido per quanto riguarda 700 ETH extra."
Il gruppo di sushi ha avuto un fine settimana intenso. L'8 aprile, Gray e il suo professionista legale hanno fornito un feedback sull'attuale mandato di comparizione della Securities and Change Fee (SEC) degli Stati Uniti.
“L'indagine della SEC è un'indagine privata di accertamento dei fatti che cerca di scoprire se ci sono state o meno violazioni delle linee guida legali sui titoli federali. Secondo i nostri dati più efficaci, la SEC non è (al momento) giunta alla conclusione che qualcuno legato a Sushi abbia violato le norme legali sui titoli degli Stati Uniti", ha affermato.
Gray afferma di collaborare alle indagini. In risposta alla citazione in giudizio, il 21 marzo è stato proposto un fondo di protezione autorizzato nel forum di discussione sulla governance di Sushi.
Diario: gli audit crittografici e le taglie dei bug sono danneggiati: ecco il modo giusto per ripararli