Un fallo introducido en SushiSwap hace cuatro días fue explotado el sábado por la noche para sustraer aproximadamente $3,3 millones en Ethereum de la cuenta de un usuario.
Según una publicación en Twitter de la empresa de seguridad y análisis de datos blockchain PeckShield, una cartera controlada por la víctima (un prominente miembro de la comunidad Crypto Twitter conocido como Sifu) fue objeto de un "fallo relacionado con la aprobación" en el contrato RouterProcessor2 de SushiSwap para robar alrededor de 1.800 ETH.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
Un análisis separado realizado por la firma de ciberseguridad respaldada por Binance, Ancilia, determinó que el defecto fue el no validar los permisos de acceso a mitad de una transacción de intercambio. La firma también encontró el contrato vulnerable en la red Polygon.
3/ Root cause is because in the internal swap() function, it will call swapUniV3() to set variable "lastCalledPool" which is at storage slot 0x00. Later on in the swap3callback function the permission check get bypassed. pic.twitter.com/LN0Ppsob9a
El "chef principal" de SushiSwap, Jared Gray, confirmó el error y la explotación aproximadamente una hora después y repitió la recomendación de Peckshield de que los usuarios que han interactuado con la cadena de bloques SushiSwap revoquen todos los permisos otorgados a sus contratos. Gray había dado a conocer la noticia de la citación de la SEC a SushiSwap hace dos semanas.
El domingo por la mañana temprano, el CTO de SushiSwap, Matthew Lilley, añadió más detalles.
"Actualmente estamos trabajando para identificar todas las direcciones afectadas por el exploit RouterProcessor2", escribió Lilley. "Hemos iniciado varias recuperaciones y seguimos monitorizando y rescatando fondos a medida que están disponibles".
AD
AD
"No hay riesgo en este momento al usar Sushi Protocol y la interfaz de usuario", continuó. "Toda la exposición a RouterProcessor2 se ha eliminado del front-end y todas las actividades de intercambio y provisión de liquidez actuales son seguras".
Para ayudar a los usuarios a determinar si había otorgado acceso a RouteProcessor2 a sus fondos, Lilley publicó un enlace a una herramienta para verificar la exposición en una variedad de redes, incluyendo Ethereum, Polygon, Avalanche, Arbitrum, Gnosis, Optimism y otras.
Según Gray, más de 300 ETH de los fondos robados a Sifu han sido recuperados y otros 700 ETH están en proceso. El esfuerzo de recuperación ha sido rastreado por el servicio de visualización de criptomonedas MetaSleuth.
. @SushiSwap RouteProcessor2 was attacked, and sifuvision.eth @0xSifu lost 1800 ETH due to this. We tracked the stolen funds and presented them as follows. The first attacker (0x9deff) has returned 90 ETH (of 100 stolen). BlockSec rescued 100 ETH and will return it shortly. The… https://t.co/sMqzNiDL5ppic.twitter.com/kGrt9cifIS
A pesar del hackeo, el precio del token SUSHI de SushiSwap ha bajado ligeramente en las últimas 24 horas, aproximadamente un 3%.
En 2021, SushiSwap evitó por poco un hackeo masivo cuando un investigador de criptomonedas "white hat" descubrió un fallo de pujas que podría haber sido explotado por unos 350 millones de dólares.
Stay on top of crypto news, get daily updates in your inbox.
