Популярная децентрализованная биржа (DEX) SushiSwap понесла убытки на сумму более 3,3 миллиона долларов после того, как хакер воспользовался ошибкой в смарт-контракте.
В частности, подвергся взлому RouteProcess02 – смарт-контракт, который агрегирует торговую ликвидность из нескольких источников и определяет наиболее выгодную цену для обмена монет. Затем это распространилось по различным сетям блокчейна.
«Основная причина в том, что во внутренней функции swap() она вызовет swapUniV3() для установки переменной lastCalledPool, которая находится в слоте хранения 0x00», — сообщила компания Ancilia, занимающаяся криптографической безопасностью. «Позже в функции swap3callback проверка разрешений будет обходиться».
Разработчик под псевдонимом 0xngmi предположил, что взлому коснулся только пользователи, которые меняли протокол в течение последних четырех дней.
«Только те пользователи, кто совершил обмен на Sushiswap за последние 4 дня, затронуты взломом Sushiswap. Если вы это сделали, отмените подтверждения как можно скорее или переместите свои средства из затронутого кошелька в новый», — написал 0xngmi в Твиттере.
На данный момент жертвой взлома стал как минимум один пользователь. По сообщениям, жертва, известный крипто-защитник по имени Сифу (Sifu), потерял 1800 ETH (около 3,3 миллиона долларов).
Между тем, ведущий разработчик Sushi Джаред Грей призвал пользователей отозвать разрешения для всех контрактов по протоколу, заявив: «Контракт Sushi RouteProcessor2 содержит ошибку подтверждения; Пожалуйста, отзовите одобрение как можно скорее».
Он также создал список контрактов на GitHub с различными блокчейнами, которые надо приостановить для решения проблемы. Примечательно, что уязвимый контракт также развернут в Polygon, популярном решении второго уровня Ethereum.
SushiSwap возвратит «большую часть» украденных средств
Команде SushiSwap удалось вернуть значительную часть украденных средств с помощью процесса обеспечения безопасности “whitehat”.
«Мы спасли большую часть затронутых средств в процессе обеспечения безопасности whitehat. Если вы выполнили восстановление с его помощью, свяжитесь с security@sushi.com для дальнейших действий», — написал Грей в 9:42 утра 9 апреля.
«Мы подтвердили возврат более 300 ETH из украденных средств Сифу. Мы связались с командой Lido по поводу еще 700 ETH».
Позже в тот же день технический директор Sushiswap Мэтью Лилли сообщил, что сейчас не проблем с использованием платформы Sushiswap dex. «Все воздействия на RouterProcessor2 были удалены из внешнего интерфейса, и все действия по LPing/текущему обмену безопасны», — добавил он.
Недавний взлом произошел вслед за растущим контролем DEX со стороны регулирующих органов, поскольку и Sushi DAO, и Грей получили повестку в суд по делу Комиссии по ценным бумагам и биржам США. 21 марта организация объявила о вызове в суд и предложила создать фонд правовой защиты для покрытия возможных судебных издержек.
На выходных Грей опубликовал официальное заявление о повестке в суд. Он сказал что «расследование SEC является непубличным, направленным на установление фактов расследованием, и пытается определить, были ли какие-либо нарушения федеральных законов о ценных бумагах».
«Насколько нам известно, SEC (на момент написания этой статьи) не сделала никаких выводов о том, что кто-либо, связанный с Sushi, нарушил федеральные законы США о ценных бумагах».
The post На бирже SushiSwap произошел крупный взлом смарт-контракта на 3,3 миллиона долларов — что произошло appeared first on Ru.
