Smart contracts på SushiSwap blev hacket. Over 3 millioner dollar stjålet.
Den populære decentraliserede kryptobørs (DEX) SushiSwap har mistet lidt over $3,3 millioner, efter en hacker udnyttede en fejl i en smart contract.
Mere specifikt blev en såkaldt RouteProcess02-smart contract (der samler handelslikviditet fra flere kilder og finder den laveste pris), udnyttet og derefter distribueret på forskellige blockchain-netværk.
“Hovedårsagen er, at den interne veksel-funktion kalder funktionen “swapUniV3()” for at indstille variablen “lastCalledPool”, udtalte kryptosikkerhedsfirmaet Ancilia i et tweet. “Senere i swap3callback-funktionen bliver kontrollen omgået”.
DefiLlama, der også er kendt som udvikleren 0xngmi, mente, at det kun var brugere, der havde brugt protokollen over de sidste fire dage, der kunne være berørt af hacket.
“Kun brugere, der har vekslet på Sushiswap inden for de sidste 4 dage, er påvirket af Sushiswaps hack. Hvis du gjorde det, skal du tilbagekalde dine godkendelser med det samme – eller flytte dine penge i den pågældende wallet til en ny wallet”, tweetede 0xngmi.
Mindst én bruger er indtil videre blevet offer for hacket. Offeret, som er en velkendt kryptofortaler kaldet Sifu, mistede angiveligt 1.800 ETH (til en værdi på cirka $3,3 millioner).
SushiSwaps chefudvikler, Jared Grey, har opfordret brugerne til at tilbagekalde tilladelser for alle kontrakter på protokollen: “Sushis RouteProcessor2-kontrakt har en godkendelsesfejl; tilbagekald straks alle godkendelser.
Han oprettede også en liste over kontrakter på GitHub med forskellige blockchains, der kræver tilbagekaldelse for at løse problemet. Især er den sårbare kontrakt også implementeret på Polygon, en populær Ethereum layer-2-blockchain.
SushiSwap får “stor del af stjålne midler” tilbage
SushiSwaps team var i stand til at få en stor del af de stjålne midler tilbage.
“Vi har sikret en stor del af de stjålne midler via en whitehat-sikkerhedsproces. Hvis du har foretaget en whitehat-gendannelse, så kontakt venligst [email protected] for at få hjælp”, skrev Grey kl. 9:42 den 9. april.
“Vi har bekræftet generhvervelsen af over 300 ETH fra Coffeebabe af Sifus stjålne midler. Vi er i kontakt med Lidos team vedrørende 700 yderligere ETH”.
Sushiswaps CTO, Matthew Lilley, udtalte senere samme dag, at der i øjeblikket ikke er nogen problemer med at bruge Sushiswaps handelsplatform. “Al eksponering for RouterProcessor2 [den hackede smart contract] er fjernet fra hjemmesiden, og al LPing/veksling er sikker at udføre”, tilføjede han.
Det seneste hack kommer efter stigende lovmæssig kontrol med decentraliserede handelsplatforme, da både Sushi DAO og Grey har modtaget en stævning fra SEC (US Securities and Exchange Commission).
Den 21. marts annoncerede organisationen stævningen i form af et forslag, der blev indsendt til Sushi DAO om etablering af en juridisk fond til dækning af potentielle sagsomkostninger.
I weekenden udstedte Grey en officiel erklæring vedrørende stævningen, hvori han hævdede, at “SEC’s undersøgelse er en lukket undersøgelse, der forsøger at fastslå, om der har været overtrædelser af de føderale love om værdipapirer”.
“Så vidt vi ved, har SEC ikke (i skrivende stund) draget nogen konklusioner om, hvorvidt nogen person med tilknytning til Sushi, har overtrådt USAs føderale værdipapirlovgivning”.
