Белый хакер утверждает, что в SushiSwap есть критическая ошибка - BitcoinMe.ru

Белый хакер утверждает, что в SushiSwap есть критическая ошибка

SushiSwap

Белый хакер сообщил, что обнаружил на платформе SushiSwap уязвимость, которая может поставить под угрозу средства пользователей на сумму более одного миллиарда долларов.

Хакер утверждает, что уязвимость заключается в функции экстренного вывода средств в двух контрактах SushiSwap — MasterChefV2 и MiniChefV2. Эти контракты регулируют доходные фермы и пулы, которые работают с такими сетями, как Polygon, Binance Smart Chain и Avalanche.

В случае возникновения чрезвычайной ситуации, функция EmergencyWithdraw позволяет поставщикам ликвидности немедленно вывести свои токены, теряя при этом вознаграждение. Но хакер утверждает, что эта функция не сработает, если в пуле SushiSwap не будет никаких вознаграждай. В этом случае поставщикам ликвидности придется ждать примерно 10 часов, пока пул не будет пополнен вручную. Он отмечает, что некоторые пулы вознаграждений опустошаются несколько раз в месяц, поэтому проблема вполне актуальна.

«Развертывания SushiSwap (с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) имеют общую стоимость более 1 миллиарда долларов. Это означает, что несколько раз в месяц в течение 10 часов эта сумма совершенно недоступна», — сказал Уилфред Майкл от имени хакера.

Он пояснил, что хакер решил обнародовать эту информацию из-за того, что попытки связаться с разработчиками SushiSwap оказались безуспешными. Хакер впервые сообщил об уязвимости на платформе выявления ошибок Immunefi, где SushiSwap предлагает выплатить вознаграждение в размере до $40000 тем, кто найдет в коде биржи ошибки. Но его сообщение было закрыто без компенсации, так как разработчики SushiSwap заявили, что им уже известно об описанной проблеме.

Один из разработчиков SushiSwap Мудит Гупта пояснил, что описанный хакером процесс «не является уязвимостью», и что «никакие средства не подвергаются риску». Гупта сказал, что в случае чрезвычайной ситуации «любой» может пополнить пул вознаграждения, минуя при этом большую часть 10-часового процесса прохождения мультиподписей.

«Утверждение хакера о том, что кто-то может добавить много токенов ликвидности, чтобы быстрее слить компенсацию, неверно. Если добавлять больше токенов, то награда за поставку ликвидности уменьшается», — сказал Гупта.

Независимые эксперты еще не высказали свое мнение, поэтому на момент написания есть только версии обеих сторон.




Пролистать наверх