Сегодня ночью «белый хакер» CryptoWilfred опубликовал в своем Твиттере несколько записей об обнаруженной им уязвимости на платформе SushiSwap, которая может поставить под угрозу криптоактивы пользователей на $1 млрд. Он заявил, что решил обнародовать информацию после того, как попытки связаться с разработчиками SushiSwap ни к чему не привели.
Хакер утверждает, что обнаружил уязвимость в функции emergencyWithdraw в двух смарт-контрактах SushiSwap, MasterChefV2 и MiniChefV2, которые регулируют работу ферм двукратного вознаграждения биржи и пулы в развертываниях SushiSwap на Polygon, Binance Smart Chain и Avalanche.
Функция emergencyWithdraw позволяет поставщикам ликвидности немедленно вывести свои криптоактивы, теряя при этом вознаграждения в случае возникновения чрезвычайной ситуации. Однако хакер утверждает, что эта функция не сработает, если в пуле SushiSwap нет вознаграждений. Следствием этого станет длительное ожидание для поставщиков ликвидности того момента, когда пока пул будет пополнен вручную, что может занимать около десяти часов. Только после этого вывод криптоактивов в рамках функции станет доступен.
«Всем держателям подписей может потребоваться около десяти часов, чтобы дать согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений оказываются пустыми несколько раз в месяц», - заявил хакер. «Развертывание SushiSwap без использования Ethereum и двукратные вознаграждения (все с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) имеют криптоактивы стоимостью более $1 млрд. Это означает, что все эти деньги могут быть по сути заблокированы для пользователей в течение десяти часов несколько раз в месяц».
Один из анонимных разработчиков SushiSwap написал в Твиттере, что угроза «не представляет собой уязвимость» и что деньги пользователей в безопасности. Он пояснил, что любой держатель подписи может пополнить пул вознаграждения в случае чрезвычайной ситуации, минуя большую часть десятичасового процесса с несколькими подписями. Согласно заявлению разработчика:
«Утверждение хакера о том, что кто-то может добавить много поставщиков ликвидности, чтобы быстрее получить вознаграждение, неверно. Чем больше поставщиков ликвидности, тем меньше вознаграждение для каждого из них».
Хакер заявил, что рассказал об уязвимости на платформе выявления ошибок Immunefi, где SushiSwap предлагает выплатить вознаграждение в размере до $40 000 за сообщения о критических ошибках в протоколе. Однако заявка была закрыта без выплаты вознаграждения - разработчики SushiSwap ответили, что осведомлены о ситуации.
На прошлой неделе разработчики децентрализованной биржи SushiSwap сообщили, что в результате хакерской атаки с платформы для продажи токенов MISO были украдены 864 ETH. Ранее на платформе MISO уже были выявлены уязвимости. В августе SushiSwap избежала взлома на $365 млн благодаря «белому хакеру».