Twórca popularnej zdecentralizowanej giełdy SushiSwap odrzucił rzekomą lukę w zabezpieczeniach zgłoszoną przez hakera z białym kapeluszem, który węszył w ich inteligentnych kontraktach.
Według doniesień medialnych haker twierdził, że zidentyfikował lukę, która może zagrozić funduszom użytkowników o wartości ponad 1 miliarda dolarów, twierdząc, że upublicznił informacje po próbach skontaktowania się z programistami SushiSwap, które zakończyły się bezczynnością.
Nasze najlepsze roboty biznesowe
Haker twierdzi, że zidentyfikował „podatność na działanie funkcji EmergencyWithdraw w dwóch kontraktach SushiSwap, MasterChefV2 i MiniChefV2” — kontraktach, które regulują dwukrotne farmy nagród giełdy i pule w wdrożeniach innych niż Ethereum SushiSwap, takich jak Polygon, Binance Smart Chain i Avalanche .
Podczas gdy funkcja EmergencyWithdraw umożliwia dostawcom płynności natychmiastowe odebranie ich tokenów LP, jednocześnie tracąc nagrody w przypadku sytuacji awaryjnej, haker twierdzi, że funkcja nie powiedzie się, jeśli w puli SushiSwap nie będą przechowywane żadne nagrody – zmuszając dostawców płynności do czekania na zakończenie puli. ręcznie uzupełniane w ciągu około 10 godzin, zanim będą mogli wypłacić swoje tokeny.
„Zgoda wszystkich posiadaczy podpisów na uzupełnienie konta z nagrodami może zająć około 10 godzin, a niektóre pule nagród są puste wiele razy w miesiącu” – twierdzi haker, dodając:
„Wdrożenia SushiSwap inne niż Ethereum i 2x nagrody (wszystkie z wykorzystaniem wrażliwych kontraktów MiniChefV2 i MasterChefV2) mają łączną wartość ponad 1 miliarda dolarów. Oznacza to, że ta wartość jest zasadniczo nietykalna przez 10 godzin kilka razy w miesiącu”.
Jednak pseudonimowy twórca SushiSwap zgłosił się do Twittera, aby odrzucić roszczenia, a platforma „Shadowy Super Coder Mudit Gupta” podkreśla, że opisane zagrożenie „nie jest luką” i „żadne fundusze nie są zagrożone”.
Gupta wyjaśnił, że „każdy” może uzupełnić pulę nagród w razie nagłej potrzeby, pomijając większość 10-godzinnego procesu wielu podpisów, który haker twierdził, że jest potrzebny do uzupełnienia puli nagród. Dodali:
„Twierdzenie hakera, że ktoś może włożyć dużo lp, aby szybciej wyssać nagrodę, jest błędne. Nagroda za PL spada, jeśli dodasz więcej PL.”
Związane z:Wyrzutnia tokenów SushiSwap, MISO, zhakowana za 3 miliony dolarów
Haker powiedział, że został poinstruowany, aby zgłosić lukę na platformie bug bounty Immunefi – gdzie SushiSwap oferuje nagrody w wysokości do 40 000 USD użytkownikom, którzy zgłoszą ryzykowne luki w swoim kodzie – po tym, jak po raz pierwszy skontaktowali się z giełdą.
Zauważyli, że problem został zamknięty na Immunefi bez odszkodowania, a SushiSwap stwierdził, że jest świadomy opisanej sprawy.
Kontynuuj czytanie w Cointelegraph