Dzisiaj, tj. 9 kwietnia 2023 r. zgłoszono, że popularny DEX SushiSwap padł ofiarą ataku hakerskiego. Drenowane są kolejne kryptowaluty, a tylko jeden z portfeli poniósł stratę w wysokości ponad 3,3 milionów dolarów. Wektorem ataku okazał się być błąd w kontrakcie RouterProcessor2, który jest odpowiedzialny za przekierowywanie transakcji i zarządzanie płynnością. Zalecamy wszystkich do podjęcia działań w celu zabezpieczenia Waszych portfeli kryptowalutowych nawet jeżeli nie korzystaliście z protokołu SushiSwap.
Błąd w kodzie SushiSwap = skradzione kryptowaluty
Konkretniej mówiąc exploit był związany z błędem w mechanizmie „approve” smart kontraktu, który pozwala użytkownikom na udzielenie zgody na wykorzystywanie ich tokenów w transakcjach. Według wstępnych ustaleń luka w zabezpieczeniach pozwalała cyberprzestępcy na kradzież środków użytkowników którzy weszli w interakcje z SushiSwap w przeciągu ostatnich czterech dni. Później zrewidowano ten okres do dwóch tygodni.
Atakującym udało się do tej pory wykraść 100 ETH (ok. 330 000 dolarów) w pierwszej serii, a kolejnemu aż 1800 ETH (ok. 5,9 mln USD). Według niepotwierdzonych doniesień pierwsza z kradzieży mogła mieć charakter tzw. ataku białego kapelusza, jak w żargonie cyberbezpieczeństwa nazywa się osoby które wykorzystują luki w zabezpieczeniach w celu zwrócenia uwagi na problem i jedynie zabezpieczają zagrożone fundusze.
Zespół SushiSwap i eksperci ds. cyberbezpieczeństwa szybko zidentyfikowali błąd w kodzie i zalecili użytkownikom protokołu cofnięcie wyrażonych w portfelach kryptowalutowych zgód na wszystkich łańcuchach (także np. Arbitrum).
Zobacz też: Prawie cały wolumen protokołu drugiej warstwy Ethereum pochodzi z transakcji wash trade? Analiza
Ekspert zespołu DeFi Llama o pseudonimie @0xngmi opublikował w mediach społecznościowych listę zgód na wszystkich sieciach które powinny zostać niezwłocznie unieważnione przez użytkownika i zbudował nawet narzędzie do sprawdzenia, czy któryś z naszych adresów został dotknięty przez exploit. Analityk The Block Research Kevin Peng zauważył, że 190 adresów na sieci Ethereum zatwierdziło problematyczny kontrakt, podczas gdy na sieci Arbitrum było to ponad 2000 adresów.
Pomimo ataku cena tokena SUSHI spadła o zaledwie 0,6% w ciągu godziny od pojawienia się wiadomości o kradzieży środków. Może się to jednak zmienić jak tylko okaże się, że większa liczba użytkowników została dotknięta problemem.
SushiSwap to zdecentralizowana giełda wymiany tokenów kryptowalutowych (ang. Decentralized Exchange – DEX – przyp. red.), która działa na blockchainie Ethereum. DEXy takie jak SushiSwap pozwalają użytkownikom handlować kryptowalutami bez potrzeby centralnego organu lub pośrednika. Zamiast tego użytkownicy wchodzą w interakcję z inteligentnymi kontraktami, które automatycznie wykonują transakcje w oparciu o wcześniej zdefiniowane zasady i warunki.
Może Cię zainteresować: