I tråd med en rekke sikkerhetsvurderinger på Twitter, resulterte en klok kontraktsfeil i den desentraliserte finansprotokollen (DeFi) SushiSwap i over 3 millioner dollar i tap i løpet av de tidlige timene av niende april.
Blockchain-sikkerhetsselskapene Certik Alert og Peckshield rapporterte uvanlig øvelse knyttet til godkjenningen opererer i Sushis Router Processor 2-kontrakt - en klok kontrakt som samler kjøp og salg av likviditet fra en rekke kilder og bestemmer den mest kostnadseffektive verdien for å bytte kontanter. Innen timer førte feilen til 3.3 millioner dollar i tap.
Det ser ut til at @SushiSwap RouterProcessor2-kontakten har en autorisasjonstilknyttet feil som fører til en mangel på >$3.3M (ca. 1800 eth). @0xSifu.
Du har sannsynligvis samtykket https://t.co/E1YvC6VZsPvennligst *AVBRYT* SÅ SNART SOM MULIG!
Et eksempel hack TX: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
- PeckShield Inc. (@peckshield) April 9, 2023
Etter I tråd med DefiLlama, den pseudonyme utvikleren 0xngmi, burde hacket utelukkende ha en effekt på kunder som har byttet ut protokollen før nå 4 dager.
Sushi-sjefutvikler Jared Gray oppfordret kundene til å trekke tilbake tillatelsene til hele protokollens kontrakter. "Sushis RouteProcessor2-kontrakt har en godkjenningsfeil. Vennligst tilbakekall autorisasjonen så raskt som mulig. Vi jobber med sikkerhetsgrupper for å reparere problemet," berømt han. EN liste av kontrakter på GitHub med helt andre blokkjeder som krever tilbakekall ble opprettet for å reparere problemet.
Vi har bekreftet gjenopprettingen av mer enn 300 ETH fra CoffeeBabe av Sifus stjålne midler. Vi er involvert i Lidos gruppe angående 700 ekstra ETH.
— Jared Gray (@jaredgrey) April 9, 2023
Timer etter hendelsen tok Gray til Twitter for å kunngjøre {at en} «massiv del av de berørte midlene» hadde blitt gjenvunnet via et whitehat sikkerhetskurs av. «Vi har fått bekreftet restaureringen av mer enn 300 ETH-midler stjålet fra CoffeeBabe fra Sifus. Vi er involvert i Lidos gruppe angående 700 ekstra ETH."
Sushigruppen hadde en travel helg. 8. april ga Gray og hans juridiske fagperson tilbakemelding på gjeldende stevning fra US Securities and Change Fee (SEC).
"SEC-etterforskningen er en privat, faktaundersøkelse som leter etter å finne ut om det har vært noen brudd på føderale juridiske retningslinjer for verdipapirer. Til den mest effektive av våre data, har SEC ikke (per dette tidspunktet) kommet til en konklusjon om at noen relatert til Sushi har brutt de juridiske retningslinjene for verdipapirer i USA," sa han.
Gray hevder å samarbeide med etterforskningen. Som svar på stevningen ble et autorisert beskyttelsesfond foreslått 21. mars på Sushi Governance Discussion Board.
Journal: Crypto Audits and Bug Bounties Are Damaged: Her er den rette måten å reparere dem på