Более 3,3 миллиона долларов потеряла популярная децентрализованная биржа (DEX) SushiSwap из-за уязвимости в смарт-контракте, которую использовал хакер.
Уязвимость была обнаружена в смарт-контракте RouteProcess02, который агрегирует ликвидность из нескольких источников и определяет наиболее выгодную цену обмена монет. Затем уязвимость распространилась по различным сетям блокчейна.
Компания Ancilia, занимающаяся криптографической безопасностью, сообщила, что основная причина уязвимости заключается в вызове swapUniV3() во внутренней функции swap() для установки переменной lastCalledPool, которая находится в ячейке хранения 0x00. В результате, проверка разрешений была пропущена в функции swap3callback.
Пользователи, перешедшие на SushiSwap за последние 4 дня, могут быть затронуты взломом, предположил разработчик под псевдонимом 0xngmi.
«Только те пользователи, которые перешли на SushiSwap за последние 4 дня, затронуты взломом SushiSwap. Если вы это сделали, отмените проверки как можно скорее или переместите свои средства из затронутого кошелька в новый», — написал 0xngmi в Твиттере.
На данный момент известно о хакерской атаке на одного пользователя, известного защитника криптовалюты по имени Сифу, который потерял 1800 ETH (около 3,3 миллиона долларов), по сообщениям.
Ведущий разработчик Sushi, Джаред Грей, призвал пользователей отозвать разрешения для всех контрактов протокола, отметив: «Контракт Sushi RouteProcessor2 содержит ошибку утверждения; пожалуйста, отзовите свою авторизацию как можно скорее».
Он также создал список контрактов на GitHub с различными блокчейнами, которые необходимо приостановить, чтобы решить проблему. Интересно отметить, что уязвимый контракт также развернут в Polygon, популярном решении второго уровня Ethereum.
SushiSwap вернет “большую часть” украденных средств
Команда SushiSwap смогла восстановить значительную часть украденных средств с помощью процесса безопасности в “белых шляпах”.
“Мы сэкономили большую часть пострадавших средств в процессе обеспечения безопасности в белых шляпах. Если вы завершили восстановление с его помощью, свяжитесь с нами по электронной почте [protected] для дальнейших действий”, – написал Грей в 9:42 утра 9 апреля.
“Мы подтвердили возврат Sifu более 300 ETH из украденных средств. Мы связались с командой Lido для получения дополнительных 700 ETH”.
Позже в тот же день технический директор Sushiswap Мэтью Лилли сообщил, что в настоящее время нет проблем с использованием платформы Sushiswap dex. “Все взаимодействия с RouterProcessor2 были удалены из внешнего интерфейса, и все операции LPing / текущего обмена безопасны”, – добавил он.
Недавний взлом произошел в контексте растущего контроля DEX со стороны регулирующих органов, поскольку и Sushi DAO, и Грей получили повестки в суд от Комиссии по ценным бумагам и биржам США. 21 марта организация объявила о вызове в суд и предложила создать фонд правовой защиты для покрытия возможных судебных издержек.
В выходные Грей опубликовал официальное заявление о повестке в суд. Он сказал, что “расследование SEC является непубличным расследованием по установлению фактов и направлено на определение того, были ли какие-либо нарушения федеральных законов о ценных бумагах”.