Popüler merkezi olmayan borsa (DEX) platformu SushiSwap, bir bilgisayar korsanının akıllı bir sözleşmedeki bir hatayı istismar etmesinden sonra 3,3 milyon dolardan fazla zarar gördü.
Daha spesifik olarak, DEX, birden fazla kaynaktan gelen ticaret likiditesini toplayan ve takas paraları için en uygun fiyatı belirleyen, istismar edilen ve ardından çeşitli blok zinciri ağlarında dağıtılan akıllı bir sözleşme olan RouteProcess02 sözleşmesini gördü.
Kripto güvenlik firması Ancilia bir tweet’te “Kök neden, dahili swap() işlevinde, 0x00 depolama yuvasındaki”lastCalledPool” değişkenini ayarlamak için swapUniV3()’ü çağırmasıdır.” dedi. “Daha sonra swap3callback işlevinde izin kontrolü atlanır.”
DefiLlama takma adlı geliştirici 0xngmi, yalnızca son dört gün içinde protokolde değişiklik yapan kullanıcıların saldırıdan etkilenmesi gerektiğini öne sürdü.
“Yalnızca Sushiswap hack’inden etkilenen kullanıcılar, son 4 gün içinde Sushiswap’te takas yapan kullanıcılar olmalıdır. Bunu yaptıysanız, onayları en kısa sürede geri alın veya etkilenen cüzdandaki paranızı yeni bir cüzdana taşıyın,” 0xngmi tweet attı.
Şimdiye kadar en az bir kullanıcı hack’in kurbanı oldu. Sifu adında tanınmış bir kripto savunucusu olan kurbanın 1.800 ETH (yaklaşık 3.3 milyon dolar değerinde) kaybettiği bildirildi.
Bu arada, Sushi’nin lider geliştiricisi Jared Gray, kullanıcıları protokoldeki tüm sözleşmeler için izinleri iptal etmeye çağırdı ve “Sushi’nin RouteProcessor2 sözleşmesinde bir onay hatası var; lütfen bir an önce onayı iptal edin.
Ayrıca GitHub’da, sorunu çözmek için iptal edilmesi gereken farklı blok zincirlerine sahip sözleşmelerin bir listesini oluşturdu. Özellikle, savunmasız sözleşme, popüler bir Ethereum katman-2 çözümü olan Polygon’da da konuşlandırılmıştır.
SushiSwap, Çalınan Fonların “Büyük Bir Kısmını” Geri Aldı
SushiSwap ekibi, beyaz şapka güvenlik süreci aracılığıyla çalınan fonların önemli bir bölümünü geri almayı başardı.
“Etkilenen fonların büyük bir bölümünü beyaz şapkalı bir güvenlik sürecinde güvence altına aldık. Whitehat kurtarma işlemi gerçekleştirdiyseniz, lütfen iletişime geçin. [email protected] sonraki adımlar için,” Gray söz konusu 9 Nisan Doğu Saati ile 09:42’de.
“Sifu’dan Coffeebabe’in çalınan fonlarından 300’den fazla ETH’nin kurtarıldığını doğruladık. 700 ETH ile ilgili olarak Lido’nun ekibiyle iletişim halindeyiz.”
Sushiswap’in CTO’su Matthew Lilley günün ilerleyen saatlerinde konuyu takip etti ve söz konusu Şu anda Sushiswap dex platformunu kullanmayla ilgili herhangi bir sorun olmadığını. “RouterProcessor2’ye yönelik tüm maruz kalma, ön uçtan kaldırıldı ve tüm LPing / mevcut takas etkinliğinin yapılması güvenlidir” diye ekledi.
Hem Sushi DAO hem de Gray’e ABD Menkul Kıymetler ve Borsa Komisyonu tarafından bir mahkeme celbi tebliğ edildiğinden, son saldırı DEX için artan düzenleyici incelemenin hemen ardından geldi.
21 Mart’ta kuruluş, olası yasal maliyetleri karşılamak için bir yasal savunma fonu kurulması için Sushi DAO’ya sunulan bir teklif şeklinde mahkeme celbini duyurdu.
Hafta sonu Gray, mahkeme celbiyle ilgili resmi bir açıklama yaptı ve “SEC’in soruşturmasının, federal menkul kıymetler yasalarının herhangi bir ihlali olup olmadığını belirlemeye çalışan, kamuya açık olmayan, gerçekleri tespit eden bir soruşturma olduğunu” iddia etti.
“Bildiğimiz kadarıyla, SEC (bu yazının yazıldığı tarihte) Sushi ile bağlantılı herhangi birinin Birleşik Devletler federal menkul kıymetler yasalarını ihlal ettiğine dair herhangi bir sonuca varmadı.”
