Gedecentraliseerde Exchange vraagt ​​recente gebruikers om goedkeuringen in te trekken wegens defect contract

Gedecentraliseerde uitwisseling SushiSwap zal binnenkort beginnen met het terugbetalen van geld aan gebruikers nadat een defect slim contract dit weekend meer dan $ 3.4 miljoen aan verliezen heeft veroorzaakt, maar het merendeel van de gestolen activa moet nog worden teruggevonden.

Op dinsdag sushi zei ruw $51,000 waarde van gebruikersactiva die zijn beveiligd door white-hat-hackers, zou binnenkort kunnen worden opgeëist. White-hat-hackers maken misbruik van kwetsbaarheden in de code om fondsen veilig te stellen die het risico lopen te worden gestolen en ontvangen doorgaans een beloning in ruil voor hun terugkeer.

Sushi zei dat geld dat is gestolen door kwaadwillende 'black-hat'-hackers onherstelbaar is, maar dat het werkt aan een claimproces om getroffen gebruikers te genezen. "Ons doel is om alle gebruikersfondsen terug te geven aan legitieme eisers", zei Sushi.

Op maandag, Sushi's 'chef' Jared Grey, tweeted dat gebruikers weer veilig op Sushi kunnen handelen en drong er bij recente gebruikers op aan goedkeuringen intrekken voor het uitgebuite RouteProcessor2-contract.

Het incident benadrukt het belang van het handhaven van strikte beveiligingspraktijken bij transacties in de keten. Protocollen die in de gemeenschap worden vertrouwd en in de loop van de tijd zijn getest, kunnen nog steeds het slachtoffer zijn van exploits of foutieve code verzenden.

SUSHI daalde met meer dan 5% in de nasleep van de exploit, maar is sindsdien hersteld.

SUSHI prijs, Bron: De uitdagende terminal

Dodgy-code

PeckShield, een blockchain-beveiligingsbedrijf, geïdentificeerd de uitbuiting op zondag. Het was gericht op contracten die in de afgelopen tien dagen waren uitgerold, waardoor portefeuilles die Sushi onlangs hebben goedgekeurd om transacties uit te voeren, kwetsbaar zijn voor aanvallen.

De exploit maakte gebruik van kwetsbaarheden in Sushi's onlangs geïmplementeerde RouteProcessor2-contract, dat gebruikers vooraf moesten goedkeuren om ERC-20-tokens op het platform te verhandelen. Het contract gaf echter ten onrechte toestemming voor het "pooladres" om fondsen af ​​​​te tappen die waren goedgekeurd voor handel door nietsvermoedende Sushi-gebruikers.

"U loopt waarschijnlijk geen risico als u de afgelopen tien dagen geen contact heeft gehad met Sushi, aangezien het uitgebuite contract minder dan tien dagen oud is", zei Sushi.

Grijs zei alleen gebruikers die onlangs activa op de beurs hebben verhandeld, werden getroffen door de exploit, wat benadrukt dat liquiditeitsverschaffers niet worden beïnvloed.

White Hat redding

Trust, een pseudonieme white-hat hacker, was de eerste die de kwetsbaarheid ontdekte. Trust heeft geprobeerd contact op te nemen met het Sushi-team over de kwetsbaarheid. Nadat hij enkele uren niets van Sushi had gehoord, probeerde Trust te profiteren van de exploit in een poging kwaadwillende actoren te verslaan. diefstal 100 ETH uit een gecompromitteerde portemonnee.

Vertrouw echter zei bots geprogrammeerd om deel te nemen aan maximale extraheerbare waarde (MEV) repliceerde snel zijn transacties voordat hij in staat was om andere activa te redden, waarbij hij $ 3.4 miljoen aan ETH verdiende.

Sifu's visie

PeckShield merkte op dat een portemonnee beheerd door Sifu's Vision, een investeringscollectief beheerd door 0xSifu, een huidige adviseur van en voormalig CFO van Wonderland, goed was voor het grootste deel van het gestolen geld met een verlies van 1,800 ETH ($ 3.4 miljoen). Grijs bevestigd het nieuws op Twitter, waarin staat dat "het grootste deel van de notionele waarde van de uitgebuite fondsen van één gebruiker is".

Trust teruggekeerd de geredde 100 ETH naar 0xSifu.

Wonderland was lid van het Frog Nation DeFi-collectief, dat dat probeerde herstructureren en neem de leiding over Sushi na een rommelige leiderschapscrisis eind 2021. Echter, de deal viel uit elkaar nadat 0xSifu was ontmaskerd als een van de mede-oprichters van de mislukte Canadese beurs, QuadrigaCX. Hij werd tijdens het drama uit het project gestemd, maar werd in januari hersteld in een bestuur stemmen na het mobiliseren van 93% van de uitgebrachte stemmen.

Op zondag zei Gray dat Sushi dat had gedaan hersteld 300 ETH, en was in gesprek met Lido, een Ethereum-validator en leverancier van liquide stakingen, over het herstel van nog eens 700 ETH.