SushiSwap, японская децентрализованная биржа, отклонила претензии хакера в белой шляпе, который заявил, что два контракта на бирже содержат уязвимость, которая ставит под угрозу активы пользователей на сумму 1 миллиард долларов США.
Быстрые факты
- Анонимный хакер в белой шляпе опубликовал в четверг отчет, в котором утверждал, что есть лазейка в функции экстренного отзыва двух контрактов на SushiSwap, MasterChefV2 и MiniChefV2. Контракты MasterChefV2 используются для всех ферм с 2-кратным вознаграждением на SushiSwap, а контракты MiniChefV2 используются для пулов поставщиков ликвидности (LP) в сетях, отличных от Ethereum. Это означает, что эти контракты контролируют токены LP, которые депонируются для размещения токенов и получения прибыли.
- В отчете утверждается, что в случае возникновения чрезвычайной ситуации пользователям разрешается выводить свои средства из пулов ставок, особенно если SushiSwap подвергается атаке. Это основная подстраховка, применяемая к большинству контрактов во всех сетях, чтобы помочь инвесторам сохранить свой капитал. Однако снятие средств в случае возникновения чрезвычайной ситуации означает, что пользователи могут потерять доход или вознаграждение в виде токенов, заработанное до этого момента. Заявления SushiSwap по обоим контрактам также утверждают то же самое.
- Однако в отчете утверждается, что контракты на SushiSwap не соответствуют декларациям. В отчете говорится, что когда пользователь SushiSwap использует функцию экстренного вывода средств, в случае сбоя вызова для сбора вознаграждений он не сможет вывести средства. Это связано с тем, что вознаграждения в виде токенов, выплачиваемые SushiSwap, хранятся в другой учетной записи, которая может работать без нагрузки несколько раз в месяц. Для этого команда SushiSwap должна вручную заполнить учетную запись, что требует подписей нескольких участников, находящихся в разных часовых поясах. По словам хакера в белой шляпе, всем держателям подписей может потребоваться около 10 часов, чтобы дать согласие на пополнение счета. И в течение этого 10-часового окна LP SushiSwap не может делать ставки, снимать ставки, собирать вознаграждения или использовать функцию экстренного вывода. Другими словами, их средства застревают на SushiSwap в течение этого периода, поскольку функция экстренного вывода не работает, когда происходит вызов для сбора вознаграждений.
- Разработчик SushiSwap Мудит Гупта отклонил претензию в Твиттере, заявив: «Это не уязвимость. Никакие средства не подвергаются риску. Если вознаграждение закончится, вывести LP не удастся, но любой (не только суши) может пополнить вознаграждение в экстренной ситуации. . Суши тоже можно просто снять с нагнетателя ". Пользователь Twitter заметил: «Но почему Sushiswap просто не исправляет эту проблему, чтобы пользователи могли выводить средства в любое время? Я предполагаю, что блокировка пользователей их токенов LP даже на минуту - нездоровая практика?» Другой член сообщества сказал, что разработчики не признали бы недостаток, даже если бы это было правдой, поскольку это не в их интересах.
- Хакер в белой шляпе решил опубликовать отчет об уязвимости публично после того, как команда SushiSwap оказала ему хладнокровие, когда он поднял проблему в частном порядке. Отчет появился после того, как SushiSwap предотвратил потенциальный взлом на 350 миллионов долларов в прошлом месяце после того, как хакер в белой шляпе указал на ошибку в контракте смарт-кода для продажи токенов BitDAO на платформе продажи токенов MISO SushiSwap. В этом году участились случаи взлома. В августе Poly Network пострадала от крупнейшего в истории взлома DeFi, а в четверг сайт Bitcoin Foundation подвергся атаке и отобразил сообщение о мошенничестве, в котором утверждалось, что удвоение средств пользователей.
