SushiSwap odkrywa lukę w smart kontrakcie
Zespół zdecentralizowanej giełdy SushiSwap odkrył lukę w smart kontrakcie RouteProcessor2, który służy do routingu transakcji. Szef platformy Jared Gray zalecił wycofanie zatwierdzeń na wszystkich blockchainach.
Sushi's RouteProcessor2 contract has an approval bug; please revoke approval ASAP. We're working with security teams to mitigate the issue. https://t.co/WhXJfa5xD4
— Jared Grey (@jaredgrey) April 9, 2023
Wykryto błąd związany z zatwierdzeniem w kontrakcie RouteProcessor2, prosimy o pilne cofnięcie zatwierdzeń. Pracujemy z zespołami odpowiedzialnymi za bezpieczeństwo, aby naprawić problem.
Współzałożyciel QuadrigaCX traci środki
Według PeckShield, Michael Patrin, współzałożyciel kanadyjskiej giełdy QuadrigaCX, stracił około 1800 ETH (~3,3 mln USD w chwili pisania tego tekstu) w wyniku ataku.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
Użytkownik Twittera o nazwie Trust (przypuszczalnie white hat haker) twierdził, że rzekomo najpierw odkrył lukę i wycofał 100 ETH należących do Patrina, zamierzając później zwrócić je prawowitemu właścicielowi. Jednak nieznane osoby wyśledziły wektor ataku i powtórzyły go.
This is insane. MEV bots have deployed contracts and copied the attack before I could save everything 😱
— Trust (@trust__90) April 9, 2023
Jak doszło do ataku?
Anton Bukov, współzałożyciel 1inch Network, powiedział, że nieznana osoba przeprowadziła atak za pośrednictwem “fałszywej puli” protokołu Uniswap v3 (z wykorzystaniem routera SushiSwap), która nie przeprowadzała kontroli uwierzytelniania. Dzięki temu router mógł wykonać callback z nieprawidłowymi argumentami.
Hacker used fake @Uniswap V3 pool with new @SushiSwap router (3 days), which didn’t had any checks that pool is genuine. So fake pool called router callback with malformed arguments (see last arg on screenshot), which lead to transferFrom() from wrong user https://t.co/BrYQCnlVxU https://t.co/zf1PPbfiIe pic.twitter.com/5DuC4ftCb9
— Anton Bukov (e/acc)🦇🔊 (@k06a) April 9, 2023
DeFi Llama zaznaczył, że luka zagraża jedynie adresom, które korzystały z SushiSwap w “ostatnich czterech dniach”. Zespół projektu opublikował również listę kontraktów, których zatwierdzenia muszą zostać cofnięte.
here's the list of contracts on each chain to be revoked https://t.co/e6tZCAkFFa
— 0xngmi (@0xngmi) April 9, 2023
Według The Block, 190 adresów na blockchainie Ethereum zatwierdziło problematyczne kontrakty. W przypadku Arbitrum było to aż 2000 adresów.
Śledź CrypS. w Google News. Czytaj najważniejsze wiadomości bezpośrednio w Google! Obserwuj ->
Zajrzyj na nasz telegram i dołącz do Crypto. Society. Dołącz ->
Aktualnie brak komentarzy.