По всей видимости, пострадали только те пользователи, которые торговали на децентрализованной бирже в течение последних четырех дней.
Ошибка в смарт-контракте децентрализованного финансового (DeFi) протокола SushiSwap привела к потерям более 3 миллионов долларов в ранние часы 9 апреля, согласно нескольким сообщениям о безопасности в Twitter.
Компании по безопасности блокчейна certik Alert и peckshield сообщили о необычной активности, связанной с функцией одобрения в контракте Router Processor 2 протокола Sushi – смарт-контракте, который агрегирует торговую ликвидность из нескольких источников и определяет наиболее выгодную цену для обмена монет. В течение нескольких часов ошибка привела к убыткам в размере 3,3 миллиона долларов.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
По словам псевдонима разработчика DefiLlama 0xngmi, взлом должен затронуть только тех пользователей, которые совершали обмен в протоколе в течение последних четырех дней.
Главный разработчик Sushi, Джаред Грей, призвал пользователей отозвать разрешения на все контракты протокола. “В контракте RouteProcessor2 протокола Sushi обнаружена ошибка одобрения; пожалуйста, отмените одобрение как можно скорее. Мы работаем с командами безопасности над устранением проблемы”, – сказал он. Для решения проблемы был создан список контрактов на github с различными блокчейнами, требующих отзыва одобрения.
We've confirmed recovery of more than 300ETH from CoffeeBabe of Sifu's stolen funds. We're in contact with lido's team regarding 700 more ETH.
— Jared Grey (@jaredgrey) April 9, 2023
Через несколько часов после инцидента Грей обратился в Twitter, чтобы объявить, что “значительная часть пострадавших средств” была восстановлена с помощью “белой шляпы” безопасности.
“Мы подтвердили восстановление более 300ETH из CoffeeBabe украденных средств Сифу. Мы находимся в контакте с командой Лидо по поводу еще 700 ETH”.
У сообщества Sushi были напряженные выходные. 8 апреля Грей и его адвокат дали комментарии по поводу недавней повестки в суд от Комиссии по ценным бумагам и биржам США.
“Расследование SEC – это непубличное расследование, направленное на установление фактов, чтобы определить, были ли какие-либо нарушения федеральных законов о ценных бумагах. Насколько нам известно, SEC не сделала никаких выводов о том, что кто-либо, связанный с Sushi, нарушил федеральные законы США о ценных бумагах”, – заявил он.
Грей утверждает, что сотрудничает со следствием. 21 марта на форуме управления Sushi было предложено создать фонд правовой защиты в ответ на повестку в суд.