Команда децентрализованной биржи SushiSwap обнаружила уязвимость в смарт-контракте RouteProcessor2, который используется для маршрутизации торговли. Глава платформы Джаред Грей рекомендовал отозвать одобрения на всех блокчейнах.
If you need a quick Revoke source:https://t.co/ySLmnCDgsQ— Jared Grey (@jaredgrey) April 9, 2023
«В контракте RouteProcessor2 обнаружена связанная с одобрением ошибка, пожалуйста, срочно отзовите разрешения. Мы работаем с ориентированными на безопасность командами, чтобы устранить проблему», — написал он.
Согласно PeckShield, в результате атаки с релевантным эксплойтом соучредитель обанкротившейся канадской биржи QuadrigaCX Майкл Патрин потерял порядка 1800 ETH (~$3,3 млн на момент написания).
Пользователь Twitter под ником Trust (предположительно, белый хакер) заявил, что якобы первым обнаружил уязвимость и вывел принадлежащие Патрину 100 ETH, намереваясь впоследствии вернуть их законному владельцу. Однако неизвестные проследили вектор атаки и повторили ее.
This is insane. MEV bots have deployed contracts and copied the attack before I could save everything 😱— Trust (@trust__90) April 9, 2023
«MEV-боты развернули контракты и скопировали атаку до того, как я успел все сохранить», — объяснил он.
9 апреля 2023 | 10:55Апдейт:
Сооснователь 1inch Network Антон Буков рассказал, что неизвестный провел атаку через «фейковый пул» протокола Uniswap v3 (использует маршрутизатор SushiSwap), который не выполнял проверок на подлинность. Это позволило совершить обратный вызов маршрутизатора с некорректными аргументами.
Hacker used fake @Uniswap V3 pool with new @SushiSwap router (3 days), which didn’t had any checks that pool is genuine. So fake pool called router callback with malformed arguments (see last arg on screenshot), which lead to transferFrom() from wrong user https://t.co/BrYQCnlVxU https://t.co/zf1PPbfiIe pic.twitter.com/5DuC4ftCb9— Anton Bukov 🦇🔊 ⚖️ (@k06a) April 9, 2023
В DeFi Llama отметили, что уязвимость угрожает только тем адресам, которые пользовались SushiSwap в течение «последних четырех дней». Команда проекта также опубликовала список контрактов, одобрения которых необходимо отозвать.
here's the list of contracts on each chain to be revoked https://t.co/e6tZCAkFFa— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023
По данным The Block, в блокчейне Ethereum проблемные контракты одобрили 190 адресов, в сети Arbitrum — свыше 2000 адресов.
На фоне новостей цена токена управления платформы SUSHI упала на 5%, согласно CoinGecko. На момент написания актив торгуется вблизи $1,07.
Напомним, за первые три месяца 2023 года блокчейн-проекты потеряли более $320 млн в результате взломов и мошенничества.
