I linje med ett antal säkerhetsrecensioner på Twitter, resulterade ett klokt kontraktsfel inom det decentraliserade finansprotokollet (DeFi) SushiSwap i över 3 miljoner dollar i förluster under de tidiga timmarna av den nionde april.
Blockchain-säkerhetsföretagen Certik Alert och Peckshield rapporterade ovanlig övning i samband med godkännandet fungerar i Sushis Router Processor 2-kontrakt - ett klokt kontrakt som samlar köp och försäljning av likviditet från ett antal källor och bestämmer det mest kostnadseffektiva värdet för att byta kontanter. Inom timmar resulterade felet i 3.3 miljoner dollar i förluster.
Det verkar @SushiSwap RouterProcessor2-kontakten har ett auktoriseringsfel som leder till en brist på >3.3 miljoner USD (cirka 1800 eth). @0xSifu.
Du har förmodligen samtyckt https://t.co/E1YvC6VZsPvänligen *AVBRYT* SÅ FORT SOM MÖJLIGT!
En instans hacka TX: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
- PeckShield Inc. (@peckshield) 9 april 2023
Efter I linje med DefiLlama, den pseudonyma utvecklaren 0xngmi, borde hacket enbart ha en effekt på kunder som har bytt ut protokollet innan nu 4 dagar.
Sushis chefsutvecklare Jared Gray uppmanade kunderna att återkalla tillstånd för hela protokollets kontrakt. "Sushis RouteProcessor2-kontrakt har ett godkännandefel. Vänligen återkalla auktorisationen så snabbt som möjligt. Vi arbetar med säkerhetsgrupper för att reparera problemet," berömde han. A lista av kontrakt på GitHub med helt andra blockkedjor som kräver återkallelse skapades för att reparera problemet.
Vi har bekräftat återställandet av mer än 300 ETH från CoffeeBabe av Sifus stulna pengar. Vi är engagerade i Lidos grupp angående 700 extra ETH.
— Jared Gray (@jaredgrey) 9 april 2023
Timmar efter incidenten gick Gray till Twitter för att meddela {att en} "massiv del av de berörda medlen" hade återvunnits via en whitehat-säkerhetskurs av. "Vi har bekräftat återställandet av mer än 300 ETH-medel som stulits från CoffeeBabe från Sifus. Vi är involverade i Lidos grupp angående 700 extra ETH."
Sushigruppen hade en hektisk helg. Den 8 april lämnade Gray och hans juridiska expert feedback på den aktuella stämningen från US Securities and Change Fee (SEC).
"SEC-utredningen är en privat, faktaundersökning som letar efter att ta reda på om det har förekommit några brott mot federala rättsliga riktlinjer för värdepapper. Till den mest effektiva av våra uppgifter har SEC inte (för närvarande) kommit fram till en slutsats om att någon med anknytning till Sushi har brutit mot USA:s lagliga riktlinjer för värdepapper", sade han.
Gray säger sig samarbeta med utredningen. Som svar på stämningen föreslogs en auktoriserad skyddsfond den 21 mars på Sushi Governance Discussion Board.
Journal: Crypto Audits and Bug Bounties Are Damaged: Här är rätt sätt att reparera dem
