Der Entwickler hinter der beliebten dezentralen Börse SushiSwap hat eine angebliche Sicherheitslücke zurückgewiesen, die von einem White-Hat-Hacker gemeldet wurde, der seine Smart Contracts durchschnüffelt.
Laut Medienberichten behauptete der Hacker, eine Schwachstelle identifiziert zu haben, durch die Benutzergelder im Wert von mehr als 1 Milliarde US-Dollar bedroht werden könnten.
Unsere Top Trading Bots
Der Hacker behauptet, in zwei von SushiSwaps Verträgen, MasterChefV2 und MiniChefV2, eine „Schwachstelle innerhalb der Notfall-Auszahlungsfunktion identifiziert zu haben“ – Verträge, die die 2x-Belohnungsfarmen der Börse und die Pools auf SushiSwaps Nicht-Ethereum-Bereitstellungen wie Polygon, Binance Smart Chain und Avalanche regeln .
Während die EmergencyWithdraw-Funktion es Liquiditätsanbietern ermöglicht, ihre LP-Token sofort zu beanspruchen, während sie im Notfall Belohnungen verlieren, behauptet der Hacker, dass die Funktion fehlschlägt, wenn keine Belohnungen im SushiSwap-Pool gehalten werden – was die Liquiditätsanbieter zwingt, auf die Freigabe des Pools zu warten über einen ungefähr 10-stündigen Prozess manuell aufgefüllt, bevor sie ihre Token abheben können.
„Es kann ungefähr 10 Stunden dauern, bis alle Signaturinhaber dem Auffüllen des Belohnungskontos zugestimmt haben, und einige Belohnungspools sind mehrmals im Monat leer“, behauptete der Hacker und fügte hinzu:
„Die Nicht-Ethereum-Bereitstellungen und die doppelten Belohnungen von SushiSwap (alle unter Verwendung der anfälligen MiniChefV2- und MasterChefV2-Verträge) haben einen Gesamtwert von über 1 Milliarde US-Dollar. Das bedeutet, dass dieser Wert mehrmals im Monat 10 Stunden lang praktisch unantastbar ist.“
Der pseudonyme Entwickler von SushiSwap hat sich jedoch an Twitter gewandt, um die Behauptungen zurückzuweisen.
Gupta stellte klar, dass „jeder“ im Notfall den Belohnungspool des Pools auffüllen kann, wodurch ein Großteil des 10-stündigen Multi-Sig-Prozesses umgangen wird, der laut Hacker benötigt wird, um den Belohnungspool aufzufüllen. Sie fügten hinzu:
„Die Behauptung des Hackers, dass jemand viel lp einsetzen kann, um den Belohner schneller zu entleeren, ist falsch. Die Belohnung pro LP sinkt, wenn du mehr LP hinzufügst.“
Verbunden:Das Token-Launchpad von SushiSwap, MISO, wurde für 3 Millionen US-Dollar gehackt
Der Hacker sagte, er sei angewiesen worden, die Schwachstelle auf der Bug-Bounty-Plattform Immunefi zu melden – wo SushiSwap anbietet, Belohnungen von bis zu 40.000 US-Dollar an Benutzer zu zahlen, die riskante Schwachstellen in ihrem Code melden – nachdem sie sich zum ersten Mal an die Börse gewandt haben.
Sie stellten fest, dass das Problem bei Immunefi ohne Entschädigung geschlossen wurde, wobei SushiSwap erklärte, dass ihnen die beschriebene Angelegenheit bekannt sei.
Lesen Sie weiter bei Cointelegraph