Согласно нескольким сообщениям о безопасности в Twitter, ошибка в смарт-контракте протокола децентрализованных финансов (DeFi) SushiSwap привела к убыткам на сумму более 3 миллионов долларов в первые часы 9 апреля.
Компании по обеспечению безопасности блокчейна CertiK Alert и Peckshield сообщили о необычной активности, связанной с функцией утверждения в контракте Sushi Router Processor 2 — смарт-контракте, который агрегирует торговую ликвидность из нескольких источников и определяет наиболее выгодную цену для обмена монет. В течение нескольких часов ошибка привела к убыткам в размере 3,3 миллиона долларов.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
По словам разработчика DefiLlama под псевдонимом 0xngmi, взлом должен затронуть только тех пользователей, которые изменили протокол за последние четыре дня.
Главный разработчик Sushi Джаред Грей призвал пользователей отозвать разрешения для всех контрактов по протоколу. «Контракт Sushi RouteProcessor2 содержит ошибку утверждения;Пожалуйста, отзовите одобрение как можно скорее. Мы работаем с группами безопасности, чтобы смягчить проблему», — сказал он. Для решения этой проблемы был создан список контрактов на GitHub с различными блокчейнами, требующими отзыва.
We've confirmed recovery of more than 300ETH from CoffeeBabe of Sifu's stolen funds. We're in contact with Lido's team regarding 700 more ETH.
— Jared Grey (@jaredgrey) April 9, 2023
Через несколько часов после инцидента Грей сообщил в Твиттере, что «большая часть затронутых средств» была возвращена с помощью процесса обеспечения безопасности в белых шляпах. «Мы подтвердили возврат более 300 ETH от CoffeeBabe из украденных средств Sifu. Мы связались с командой Lido по поводу еще 700 ETH».
У сообщества суши были напряженные выходные.8 апреля Грей и его адвокат прокомментировали недавнюю повестку в суд из Комиссии по ценным бумагам и биржам США.
«Расследование Комиссии по ценным бумагам и биржам является непубличным, направленным на установление фактов расследованием, пытающимся определить, имели ли место какие-либо нарушения федеральных законов о ценных бумагах. Насколько нам известно, SEC (на момент написания этой статьи) не сделала никаких выводов о том, что кто-либо, связанный с Sushi, нарушил федеральные законы США о ценных бумагах», — заявил он.
Грей утверждает, что сотрудничает со следствием. Фонд правовой защиты в ответ на повестку в суд был предложен на форуме управления Sushi 21 марта.
