O bug de aprovação do SushiSwap leva a uma exploração de 3,3 milhões de dólares
Apenas os utilizadores que negociaram na sushiswap nos últimos quatro dias foram aparentemente afetados.
Um bug num contrato inteligente sobre o protocolo de finanças descentralizadas (DeFi) SushiSwap levou a mais de $3 milhões em perdas nas primeiras horas do dia 9 de Abril, de acordo com vários relatórios de segurança no Twitter.
As empresas de segurança Certik Alert e Peckshield anunciaram uma atividade invulgar relacionada com a função de aprovação no contrato Sushi’s Router Processor 2 – um contrato inteligente que agrega liquidez comercial de múltiplas fontes e identifica o preço mais favorável para a troca de moedas. Em poucas horas, o bug levou a perdas de 3,3 milhões de dólares.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
Segundo a DefiLlama pseudónimo de desenvolvedor 0xngmi, o hack só deve afetar os utilizadores que trocaram no protocolo nos últimos quatro dias.
O programador chefe do Sushi, Jared Grey, instou os utilizadores a revogar as permissões para todos os contratos sobre o protocolo. “O contrato RouteProcessor2 do Sushi tem um bug de aprovação; por favor revogar a aprovação o mais rápido possível. Estamos a trabalhar com equipas de segurança para mitigar a questão”, observou ele. Foi criada uma lista de contratos no GitHub com diferentes cadeias de bloqueio que requerem a revogação para resolver o problema.
We’ve secured a large portion of affected funds in a whitehat security process. If you have performed a whitehat recovery please contact [email protected] for next steps.
— Jared Grey (@jaredgrey) April 9, 2023
Horas após o incidente, Grey levou ao Twitter para anunciar que uma “grande parte dos fundos afetados” tinha sido recuperada através de um processo de segurança “whitehat”. “Confirmámos a recuperação de mais de 300ETH de CoffeeBabe dos fundos roubados da Sifu. Estamos em contato com a equipa do Lido relativamente a mais 700 ETH”.
A comunidade do Sushi teve um fim-de-semana intenso. A 8 de Abril, Grey e o seu conselheiro apresentaram comentários sobre a recente intimação da Comissão de Títulos e Câmbios dos Estados Unidos (SEC).
A investigação da SEC é um inquérito não público e de apuramento de factos, tentando determinar se houve quaisquer violações das leis federais de valores mobiliários. Tanto quanto é do nosso conhecimento, a SEC não chegou (a partir deste escrito) a qualquer conclusão de que alguém afiliado à Sushi tenha violado as leis federais de valores mobiliários dos Estados Unidos, declarou.
A Grey afirma estar a cooperar com a investigação. Um fundo de defesa legal em resposta à intimação foi proposto no fórum de governação do Sushi a 21 de Março.
Traduzido de: Cointelegraph.
O autor: Bruno Rocha
Escritor, Compositor e Poeta, não necessariamente nesta ordem. Fissurado em Sci-fi e SteamPunk. Estudando e conhecendo as fascinantes redes Blockchain.