De ontwikkelaar achter de populaire gedecentraliseerde exchange SushiSwap heeft een vermeende kwetsbaarheid afgewezen die is gemeld door een white-hat hacker die door hun slimme contracten snuffelt.
Volgens berichten in de media beweerde de hacker een kwetsbaarheid te hebben geïdentificeerd die meer dan $ 1 miljard aan gebruikersgelden zou kunnen bedreigen, en beweerde dat ze de informatie openbaar hadden gemaakt nadat pogingen om contact op te nemen met de ontwikkelaars van SushiSwap resulteerden in inactiviteit.
Onze beste handelsrobots
De hacker beweert een "kwetsbaarheid binnen de noodopnamefunctie te hebben geïdentificeerd in twee van SushiSwap's contracten, MasterChefV2 en MiniChefV2" - contracten die van toepassing zijn op de 2x reward farms van de beurs en de pools op SushiSwap's niet-Ethereum-implementaties zoals Polygon, Binance Smart Chain en Avalanche .
Terwijl de emergencyWithdraw-functie liquiditeitsverschaffers in staat stelt hun LP-tokens onmiddellijk te claimen terwijl ze beloningen verbeuren in geval van nood, beweert de hacker dat de functie zal mislukken als er geen beloningen worden vastgehouden in de SushiSwap-pool - waardoor liquiditeitsverschaffers moeten wachten tot de pool is handmatig bijgevuld gedurende een proces van ongeveer 10 uur voordat ze hun tokens kunnen opnemen.
"Het kan ongeveer 10 uur duren voordat alle handtekeninghouders toestemming geven om het beloningsaccount bij te vullen, en sommige beloningspools zijn meerdere keren per maand leeg", beweerde de hacker en voegde eraan toe:
“De niet-Ethereum-implementaties van SushiSwap en 2x beloningen (allemaal met behulp van de kwetsbare MiniChefV2- en MasterChefV2-contracten) hebben een totale waarde van meer dan $ 1 miljard. Dit betekent dat deze waarde meerdere keren per maand gedurende 10 uur in wezen onaantastbaar is.”
De pseudonieme ontwikkelaar van SushiSwap is echter naar Twitter gegaan om de claims af te wijzen, waarbij de "Shadowy Super Coder Mudit Gupta van het platform benadrukt dat de beschreven dreiging "geen kwetsbaarheid is" en dat "geen geld in gevaar is".
Gupta verduidelijkte dat "iedereen" de rewarder van de pool kan aanvullen in geval van nood, waarbij een groot deel van het 10-uur durende multi-sig-proces wordt omzeild dat volgens de hacker nodig is om de rewards-pool aan te vullen. Ze voegden eraan toe:
“De bewering van de hacker dat iemand veel lp kan inbrengen om de rewarder sneller leeg te maken, is onjuist. De beloning per LP gaat omlaag als je meer LP toevoegt.”
Verwant:SushiSwap's token launchpad, MISO, gehackt voor $ 3 miljoen
De hacker zei dat ze de opdracht hadden gekregen om de kwetsbaarheid te melden op het bug bounty-platform Immunefi - waar SushiSwap beloningen van maximaal $ 40.000 aanbiedt aan gebruikers die risicovolle kwetsbaarheden in hun code melden - nadat ze voor het eerst contact hadden opgenomen met de uitwisseling.
Ze merkten op dat de kwestie op Immunefi was gesloten zonder compensatie, waarbij SushiSwap verklaarde dat ze op de hoogte waren van de beschreven kwestie.
Lees verder op CoinTelegraph