SushiSwap опровергает сообщения об ошибке на миллиард долларов

Разработчик популярной децентрализованной биржи SushiSwap отверг предполагаемую уязвимость, о которой сообщил хакер в белой шляпе, выискивающий их смарт-контракты.

По сообщениям СМИ, хакер утверждал, что обнаружил уязвимость, которая может поставить под угрозу средства пользователей на сумму более 1 миллиарда долларов, заявив, что они обнародовали информацию после того, как попытки связаться с разработчиками SushiSwap привели к бездействию.

Хакер утверждает, что обнаружил «уязвимость в функции экстренного вывода средств в двух контрактах SushiSwap, MasterChefV2 и MiniChefV2» - контрактах, которые регулируют фермы двукратного вознаграждения биржи и пулы в развертываниях SushiSwap, не связанных с Ethereum, таких как Polygon , Binance Smart Chain и Avalanche.

В то время как функция EmergencyWithdraw позволяет поставщикам ликвидности немедленно требовать свои токены LP, теряя при этом вознаграждения в случае возникновения чрезвычайной ситуации, хакер утверждает, что эта функция не сработает, если в пуле SushiSwap нет вознаграждений, что вынуждает поставщиков ликвидности ждать, пока пул будет завершен. пополняется вручную в течение примерно 10-часового процесса, прежде чем они смогут вывести свои токены.

«Всем держателям подписей может потребоваться около 10 часов, чтобы дать согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений опустошаются несколько раз в месяц», - заявил хакер, добавив:

«Развертывания SushiSwap без использования Ethereum и двукратные вознаграждения (все с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) составляют общую стоимость более 1 миллиарда долларов. Это означает, что эта стоимость практически недоступна в течение 10 часов несколько раз в месяц».

Тем не менее, псевдонимный разработчик SushiSwap обратился в Twitter, чтобы отвергнуть претензии, при этом платформы «Shadowy Super Coder Mudit Gupta» подчеркнули, что описанная угроза «не является уязвимостью» и что «никакие средства не подвергаются риску».

Гупта пояснил, что «любой» может пополнить пул вознаграждения в случае чрезвычайной ситуации, минуя большую часть 10-часового процесса с несколькими подписями, который, по утверждению хакера, необходим для пополнения пула вознаграждений. Они добавили:

«Хакеры утверждают, что кто-то может добавить много LP, чтобы быстрее истощить вознаграждение, неверно. Награда за LP снижается, если вы добавляете больше LP».

Хакер сказал, что им было дано указание сообщить об уязвимости на платформе для выявления ошибок Immunefi, где SushiSwap предлагает выплатить вознаграждение в размере до 40 000 долларов пользователям, которые сообщают о рискованных уязвимостях в своем коде, после того, как они впервые обратились к бирже.

Они отметили, что вопрос был закрыт на Immunefi без компенсации, при этом SushiSwap заявил, что им было известно об описанном вопросе.