Популярна платформа децентралізованої біржі (DEX) SushiSwap зазнала збитків на суму понад 3,3 мільйона доларів після того, як хакер скористався помилкою в смарт-контракті.
Зокрема, DEX побачив свій контракт RouteProcess02, смарт-контракт, який агрегує торгову ліквідність з багатьох джерел і визначає найвигіднішу ціну для обміну монетами, використаний і потім розподілений між різними блокчейн-мережами.
«Основна причина полягає в тому, що у внутрішній функції swap() вона викликає swapUniV3(), щоб встановити змінну «lastCalledPool», яка знаходиться в слоті зберігання 0x00», — повідомила компанія криптобезпеки Ancilia у твіті. «Пізніше у функції swap3callback перевірка дозволів обійдеться».
Псевдонімний розробник DefiLlama 0xngmi припустив, що злом повинен торкнутися лише користувачів, які змінили протокол протягом останніх чотирьох днів.
«Злом Sushiswap має вплинути лише на користувачів, які перейшли на Sushiswap протягом останніх 4 днів. Якщо ви це зробили, скасуйте схвалення якнайшвидше або перемістіть свої кошти з ураженого гаманця в новий гаманець», 0xngmi твітнув.
Наразі жертвою злому став щонайменше один користувач. Повідомляється, що жертва, яка є відомим криптозахисником на ім’я Сіфу, втратила 1800 ETH (вартістю близько 3,3 мільйона доларів).
Тим часом провідний розробник Sushi, Джаред Грей, закликав користувачів відкликати дозволи для всіх контрактів на протоколі, заявивши: «У контракті Sushi RouteProcessor2 є помилка схвалення; будь ласка, відкликайте схвалення якомога швидше.
Він також створив список контрактів на GitHub з різними блокчейнами, які потребують відкликання для вирішення проблеми. Примітно, що вразливий контракт також розгорнуто на Polygon, популярному рішенні рівня 2 Ethereum.
SushiSwap повертає «велику частину» вкрадених коштів
Команді SushiSwap вдалося повернути значну частину вкрадених коштів за допомогою процесу безпеки.
«Ми захистили значну частину постраждалих коштів у процесі безпеки whitehat. Якщо ви виконали відновлення whitehat, зв’яжіться з нами [email protected] для наступних кроків», Ґрей сказав о 9:42 ранку за східним часом 9 квітня.
«Ми підтвердили повернення понад 300 ETH з викрадених коштів Coffeebabe of Sifu. Ми контактуємо з командою Lido щодо ще 700 ETH».
Пізніше того ж дня технічний директор Sushiswap, Метью Ліллі, звернувся до нас сказав що зараз немає проблем із використанням платформи Sushiswap dex. «Усі дії RouterProcessor2 були видалені з інтерфейсу, і всі дії LPing / поточного свопу можна безпечно виконувати», – додав він.
Нещодавній злом стався після посилення регулятивного контролю за DEX, оскільки як Sushi DAO, так і Gray отримали повістку до суду від Комісії з цінних паперів і бірж США.
21 березня організація оголосила повістку у вигляді а пропозиція подано до Sushi DAO для створення фонду правового захисту для покриття потенційних судових витрат.
На вихідних, Ґрей виданий офіційна заява щодо повістки, в якій стверджується, що «розслідування SEC є непублічним розслідуванням для встановлення фактів, яке намагається визначити, чи були якісь порушення федеральних законів про цінні папери».
«Наскільки нам відомо, SEC (на момент написання цієї статті) не зробила жодних висновків про те, що будь-хто, пов’язаний з Sushi, порушив федеральні закони США про цінні папери».