En Resumen

  • Un fallo en SushiSwap llevó a un robo de $3.3 millones en Ethereum de usuario prominente.
  • SushiSwap confirmó el fallo y trabaja en la recuperación de fondos robados.
  • El precio del token SUSHI de SushiSwap cayó ligeramente tras el hackeo.

Un fallo introducido en SushiSwap hace cuatro días fue explotado el sábado por la noche para sustraer aproximadamente $3,3 millones en Ethereum de la cuenta de un usuario.

Según una publicación en Twitter de la empresa de seguridad y análisis de datos blockchain PeckShield, una cartera controlada por la víctima (un prominente miembro de la comunidad Crypto Twitter conocido como Sifu) fue objeto de un "fallo relacionado con la aprobación" en el contrato RouterProcessor2 de SushiSwap para robar alrededor de 1.800 ETH.

Un análisis separado realizado por la firma de ciberseguridad respaldada por Binance, Ancilia, determinó que el defecto fue el no validar los permisos de acceso a mitad de una transacción de intercambio. La firma también encontró el contrato vulnerable en la red Polygon.

El "chef principal" de SushiSwap, Jared Gray, confirmó el error y la explotación aproximadamente una hora después y repitió la recomendación de Peckshield de que los usuarios que han interactuado con la cadena de bloques SushiSwap revoquen todos los permisos otorgados a sus contratos. Gray había dado a conocer la noticia de la citación de la SEC a SushiSwap hace dos semanas.

El domingo por la mañana temprano, el CTO de SushiSwap, Matthew Lilley, añadió más detalles.

"Actualmente estamos trabajando para identificar todas las direcciones afectadas por el exploit RouterProcessor2", escribió Lilley. "Hemos iniciado varias recuperaciones y seguimos monitorizando y rescatando fondos a medida que están disponibles".

"No hay riesgo en este momento al usar Sushi Protocol y la interfaz de usuario", continuó. "Toda la exposición a RouterProcessor2 se ha eliminado del front-end y todas las actividades de intercambio y provisión de liquidez actuales son seguras".

Para ayudar a los usuarios a determinar si había otorgado acceso a RouteProcessor2 a sus fondos, Lilley publicó un enlace a una herramienta para verificar la exposición en una variedad de redes, incluyendo Ethereum, Polygon, Avalanche, Arbitrum, Gnosis, Optimism y otras.

Según Gray, más de 300 ETH de los fondos robados a Sifu han sido recuperados y otros 700 ETH están en proceso. El esfuerzo de recuperación ha sido rastreado por el servicio de visualización de criptomonedas MetaSleuth.

A pesar del hackeo, el precio del token SUSHI de SushiSwap ha bajado ligeramente en las últimas 24 horas, aproximadamente un 3%.

En 2021, SushiSwap evitó por poco un hackeo masivo cuando un investigador de criptomonedas "white hat" descubrió un fallo de pujas que podría haber sido explotado por unos 350 millones de dólares.

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.