DEX SushiSwap stracił ponad 3,3 mln dolarów przez exploit. Deweloperzy poinformowali, że zaatakowany został kontrakt RouterProcessor2, który służy do routingu handlu na giełdzie.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
Firma PeckShield zajmująca się bezpieczeństwem blockchain napisała:
Kontrakt RouterProcessor2 wydaje się mieć błąd związany z walidacją, który spowodował utratę ponad 3,3 miliona dolarów (około 1800 ETH).
@0xngmi z DeFi Llama stwierdził:
Tylko ci, którzy dokonali wymiany na SushiSwap w ciągu ostatnich czterech dni, zostali dotknięci. Opublikowana została lista kontraktów, które muszą zostać anulowane.
Ponadto twórcy stworzyli narzędzie, które pozwala sprawdzić, czy któryś z Twoich adresów został dotknięty. Analityk Kevin Peng wyjaśnił, że obecnie 190 adresów Ethereum i 2000 adresów na Arbitrum zatwierdziły zły kontrakt:
Szybkie śledztwo przeprowadził też CEO 1inch:
Hacker used fake @Uniswap V3 pool with new @SushiSwap router (3 days), which didn’t had any checks that pool is genuine. So fake pool called router callback with malformed arguments (see last arg on screenshot), which lead to transferFrom() from wrong user https://t.co/BrYQCnlVxU https://t.co/zf1PPbfiIe pic.twitter.com/5DuC4ftCb9
— Anton Bukov 🦇🔊 ⚖️ (@k06a) April 9, 2023
Haker użył fałszywej puli Uniswap V3 w połączeniu z nowym routerem SushiSwap, który nie miał kontroli uwierzytelniania puli. W ten sposób fałszywa pula uruchomiła wywołanie zwrotne do routera z uszkodzonymi argumentami, co spowodowało transfer środków od niewłaściwego użytkownika.
Comments (No)