Forklog
2023-04-09 07:11:48

Команда SushiSwap сообщила об уязвимости в смарт-контракте платформы

Команда децентрализованной биржи SushiSwap обнаружила уязвимость в смарт-контракте RouteProcessor2, который используется для маршрутизации торговли. Глава платформы Джаред Грей рекомендовал отозвать одобрения на всех блокчейнах. If you need a quick Revoke source:https://t.co/ySLmnCDgsQ— Jared Grey (@jaredgrey) April 9, 2023 «В контракте RouteProcessor2 обнаружена связанная с одобрением ошибка, пожалуйста, срочно отзовите разрешения. Мы работаем с ориентированными на безопасность командами, чтобы устранить проблему», — написал он. Согласно PeckShield, в результате атаки с релевантным эксплойтом соучредитель обанкротившейся канадской биржи QuadrigaCX Майкл Патрин потерял порядка 1800 ETH (~$3,3 млн на момент написания).  Пользователь Twitter под ником Trust (предположительно, белый хакер) заявил, что якобы первым обнаружил уязвимость и вывел принадлежащие Патрину 100 ETH, намереваясь впоследствии вернуть их законному владельцу. Однако неизвестные проследили вектор атаки и повторили ее. This is insane. MEV bots have deployed contracts and copied the attack before I could save everything 😱— Trust (@trust__90) April 9, 2023 «MEV-боты развернули контракты и скопировали атаку до того, как я успел все сохранить», — объяснил он. 9 апреля 2023 | 10:55Апдейт: Сооснователь 1inch Network Антон Буков рассказал, что неизвестный провел атаку через «фейковый пул» протокола Uniswap v3 (использует маршрутизатор SushiSwap), который не выполнял проверок на подлинность. Это позволило совершить обратный вызов маршрутизатора с некорректными аргументами. Hacker used fake @Uniswap V3 pool with new @SushiSwap router (3 days), which didn’t had any checks that pool is genuine. So fake pool called router callback with malformed arguments (see last arg on screenshot), which lead to transferFrom() from wrong user https://t.co/BrYQCnlVxU https://t.co/zf1PPbfiIe pic.twitter.com/5DuC4ftCb9— Anton Bukov 🦇🔊 ⚖️ (@k06a) April 9, 2023 В DeFi Llama отметили, что уязвимость угрожает только тем адресам, которые пользовались SushiSwap в течение «последних четырех дней». Команда проекта также опубликовала список контрактов, одобрения которых необходимо отозвать. here's the list of contracts on each chain to be revoked https://t.co/e6tZCAkFFa— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023 По данным The Block, в блокчейне Ethereum проблемные контракты одобрили 190 адресов, в сети Arbitrum — свыше 2000 адресов.  На фоне новостей цена токена управления платформы SUSHI упала на 5%, согласно CoinGecko. На момент написания актив торгуется вблизи $1,07. Напомним, за первые три месяца 2023 года блокчейн-проекты потеряли более $320 млн в результате взломов и мошенничества.

获取加密通讯
阅读免责声明 : 此处提供的所有内容我们的网站,超链接网站,相关应用程序,论坛,博客,社交媒体帐户和其他平台(“网站”)仅供您提供一般信息,从第三方采购。 我们不对与我们的内容有任何形式的保证,包括但不限于准确性和更新性。 我们提供的内容中没有任何内容构成财务建议,法律建议或任何其他形式的建议,以满足您对任何目的的特定依赖。 任何使用或依赖我们的内容完全由您自行承担风险和自由裁量权。 在依赖它们之前,您应该进行自己的研究,审查,分析和验证我们的内容。 交易是一项高风险的活动,可能导致重大损失,因此请在做出任何决定之前咨询您的财务顾问。 我们网站上的任何内容均不构成招揽或要约