صرافی SushiSwap متحمل هک قرارداد هوشمند 3.3 میلیون دلاری شد – در اینجا چه اتفاقی افتاد

پلتفرم صرافی غیرمتمرکز محبوب (DEX) SushiSwap پس از سوء استفاده یک هکر از اشکال در یک قرارداد هوشمند، بیش از 3.3 میلیون دلار ضرر کرده است.

به طور خاص، DEX قرارداد RouteProcess02 خود را دید، یک قرارداد هوشمند که نقدینگی تجاری را از منابع متعدد جمع‌آوری می‌کند و مطلوب‌ترین قیمت را برای مبادله سکه‌ها شناسایی می‌کند، مورد بهره‌برداری قرار می‌گیرد و سپس در شبکه‌های مختلف بلاک چین توزیع می‌شود.

شرکت امنیتی کریپتو Ancilia در توییتی گفت: “علت اصلی این است که در تابع swap داخلی، swapUniV3() را برای تنظیم متغیر “lastCalledPool” که در اسلات ذخیره سازی 0x00 قرار دارد فراخوانی می کند.” “بعداً در تابع swap3callback بررسی مجوز دور زده می شود.”

توسعه دهنده مستعار DefiLlama 0xngmi پیشنهاد کرد که فقط کاربرانی که در چهار روز گذشته پروتکل را تعویض کرده اند باید تحت تأثیر هک قرار گیرند.

تنها کاربرانی که تحت تاثیر هک Sushiswap قرار گرفته اند باید کسانی باشند که در 4 روز گذشته در Sushiswap مبادله کرده اند. اگر این کار را کردید، تأییدیه‌ها را در اسرع وقت برگردانید یا وجوه خود را در کیف پول آسیب‌دیده به یک کیف پول جدید منتقل کنید.» 0xngmi توییت کرد.

حداقل یک کاربر تا کنون قربانی این هک شده است. قربانی که یکی از مدافعان معروف کریپتو به نام سیفو است، طبق گزارش ها 1800 ETH (به ارزش حدود 3.3 میلیون دلار) از دست داده است.

در همین حال، Jared Grey، توسعه‌دهنده اصلی Sushi، از کاربران خواسته است که مجوزهای تمام قراردادهای موجود در پروتکل را لغو کنند، و اظهار داشت: «قرارداد RouteProcessor2 Sushi دارای یک اشکال تأیید است؛ لطفاً هرچه سریع‌تر تأیید را لغو کنید.

او همچنین لیستی از قراردادها را در GitHub با بلاک چین های مختلف ایجاد کرد که برای رفع مشکل نیاز به لغو دارند. قابل ذکر است که قرارداد آسیب‌پذیر بر روی Polygon، یک راه‌حل محبوب لایه ۲ اتریوم نیز مستقر شده است.

SushiSwap “بخش بزرگی” از وجوه سرقت شده را بازیابی می کند

تیم SushiSwap موفق شده است بخش قابل توجهی از وجوه دزدیده شده را از طریق فرآیند امنیتی کلاه سفید بازیابی کند.

ما بخش بزرگی از وجوه آسیب‌دیده را در فرآیند امنیتی Whitehat تضمین کرده‌ایم. اگر بازیابی کلاه سفید انجام داده اید، لطفاً تماس بگیرید [email protected] برای مراحل بعدی، “گری گفت ساعت 9:42 صبح به وقت شرقی در 9 آوریل.

ما بازیابی بیش از 300 ETH از وجوه دزدیده شده Coffeebabe of Sifu را تایید کرده‌ایم. ما در رابطه با 700 ETH بیشتر با تیم Lido در تماس هستیم.”

متیو لیلی، مدیر ارشد فناوری Sushiswap، بعداً در روز پیگیری کرد گفت که در حال حاضر هیچ مشکلی در استفاده از پلتفرم Sushiswap dex وجود ندارد. او افزود: «تمام قرار گرفتن در معرض RouterProcessor2 از قسمت جلویی حذف شده است، و انجام تمام فعالیت‌های LPing/swap فعلی امن است».

هک اخیر به دنبال افزایش نظارت نظارتی برای DEX صورت گرفت زیرا هر دو سوشی DAO و گری با احضاریه ای از سوی کمیسیون بورس و اوراق بهادار ایالات متحده دریافت شدند.

در 21 مارس، این سازمان احضاریه را در قالب یک پیشنهاد ارائه شده به Sushi DAO برای ایجاد یک صندوق دفاع قانونی برای پوشش هزینه های قانونی احتمالی اعلام کرد.

در آخر هفته، گری بیانیه ای رسمی در رابطه با احضاریه صادر کرد و مدعی شد که “تحقیقات SEC یک تحقیق غیرعلنی و حقیقت یاب است که تلاش می کند مشخص کند آیا نقض قوانین اوراق بهادار فدرال وجود داشته است یا خیر.”

“تا جایی که ما می دانیم، SEC (تا لحظه نگارش این مقاله) هیچ نتیجه ای مبنی بر اینکه کسی که به سوشی وابسته است قوانین اوراق بهادار فدرال ایالات متحده را نقض کرده است، نگرفته است.”