صرافی SushiSwap متحمل هک قرارداد هوشمند 3.3 میلیون دلاری شد – در اینجا چه اتفاقی افتاد
پلتفرم صرافی غیرمتمرکز محبوب (DEX) SushiSwap پس از سوء استفاده یک هکر از اشکال در یک قرارداد هوشمند، بیش از 3.3 میلیون دلار ضرر کرده است.
به طور خاص، DEX قرارداد RouteProcess02 خود را دید، یک قرارداد هوشمند که نقدینگی تجاری را از منابع متعدد جمعآوری میکند و مطلوبترین قیمت را برای مبادله سکهها شناسایی میکند، مورد بهرهبرداری قرار میگیرد و سپس در شبکههای مختلف بلاک چین توزیع میشود.
شرکت امنیتی کریپتو Ancilia در توییتی گفت: “علت اصلی این است که در تابع swap داخلی، swapUniV3() را برای تنظیم متغیر “lastCalledPool” که در اسلات ذخیره سازی 0x00 قرار دارد فراخوانی می کند.” “بعداً در تابع swap3callback بررسی مجوز دور زده می شود.”
توسعه دهنده مستعار DefiLlama 0xngmi پیشنهاد کرد که فقط کاربرانی که در چهار روز گذشته پروتکل را تعویض کرده اند باید تحت تأثیر هک قرار گیرند.
تنها کاربرانی که تحت تاثیر هک Sushiswap قرار گرفته اند باید کسانی باشند که در 4 روز گذشته در Sushiswap مبادله کرده اند. اگر این کار را کردید، تأییدیهها را در اسرع وقت برگردانید یا وجوه خود را در کیف پول آسیبدیده به یک کیف پول جدید منتقل کنید.» 0xngmi توییت کرد.
حداقل یک کاربر تا کنون قربانی این هک شده است. قربانی که یکی از مدافعان معروف کریپتو به نام سیفو است، طبق گزارش ها 1800 ETH (به ارزش حدود 3.3 میلیون دلار) از دست داده است.
در همین حال، Jared Grey، توسعهدهنده اصلی Sushi، از کاربران خواسته است که مجوزهای تمام قراردادهای موجود در پروتکل را لغو کنند، و اظهار داشت: «قرارداد RouteProcessor2 Sushi دارای یک اشکال تأیید است؛ لطفاً هرچه سریعتر تأیید را لغو کنید.
او همچنین لیستی از قراردادها را در GitHub با بلاک چین های مختلف ایجاد کرد که برای رفع مشکل نیاز به لغو دارند. قابل ذکر است که قرارداد آسیبپذیر بر روی Polygon، یک راهحل محبوب لایه ۲ اتریوم نیز مستقر شده است.
SushiSwap “بخش بزرگی” از وجوه سرقت شده را بازیابی می کند
تیم SushiSwap موفق شده است بخش قابل توجهی از وجوه دزدیده شده را از طریق فرآیند امنیتی کلاه سفید بازیابی کند.
ما بخش بزرگی از وجوه آسیبدیده را در فرآیند امنیتی Whitehat تضمین کردهایم. اگر بازیابی کلاه سفید انجام داده اید، لطفاً تماس بگیرید [email protected] برای مراحل بعدی، “گری گفت ساعت 9:42 صبح به وقت شرقی در 9 آوریل.
ما بازیابی بیش از 300 ETH از وجوه دزدیده شده Coffeebabe of Sifu را تایید کردهایم. ما در رابطه با 700 ETH بیشتر با تیم Lido در تماس هستیم.”
متیو لیلی، مدیر ارشد فناوری Sushiswap، بعداً در روز پیگیری کرد گفت که در حال حاضر هیچ مشکلی در استفاده از پلتفرم Sushiswap dex وجود ندارد. او افزود: «تمام قرار گرفتن در معرض RouterProcessor2 از قسمت جلویی حذف شده است، و انجام تمام فعالیتهای LPing/swap فعلی امن است».
هک اخیر به دنبال افزایش نظارت نظارتی برای DEX صورت گرفت زیرا هر دو سوشی DAO و گری با احضاریه ای از سوی کمیسیون بورس و اوراق بهادار ایالات متحده دریافت شدند.
در 21 مارس، این سازمان احضاریه را در قالب یک پیشنهاد ارائه شده به Sushi DAO برای ایجاد یک صندوق دفاع قانونی برای پوشش هزینه های قانونی احتمالی اعلام کرد.
در آخر هفته، گری بیانیه ای رسمی در رابطه با احضاریه صادر کرد و مدعی شد که “تحقیقات SEC یک تحقیق غیرعلنی و حقیقت یاب است که تلاش می کند مشخص کند آیا نقض قوانین اوراق بهادار فدرال وجود داشته است یا خیر.”
“تا جایی که ما می دانیم، SEC (تا لحظه نگارش این مقاله) هیچ نتیجه ای مبنی بر اینکه کسی که به سوشی وابسته است قوانین اوراق بهادار فدرال ایالات متحده را نقض کرده است، نگرفته است.”