Разработчик популярной децентрализованной биржи SushiSwap отверг предполагаемую уязвимость, о которой сообщил хакер в белой шляпе, выискивающий их смарт-контракты.
По сообщениям СМИ, хакер утверждал, что обнаружил уязвимость, которая может поставить под угрозу средства пользователей на сумму более 1 миллиарда долларов, заявив, что они обнародовали информацию после того, как попытки связаться с разработчиками SushiSwap привели к бездействию.
Хакер утверждает, что обнаружил «уязвимость в функции экстренного вывода средств в двух контрактах SushiSwap, MasterChefV2 и MiniChefV2» – контрактах, которые регулируют фермы двукратного вознаграждения биржи и пулы в развертываниях SushiSwap, не связанных с Ethereum, таких как Polygon, Binance Smart Chain и Avalanche..
В то время как функция EmergencyWithdraw позволяет поставщикам ликвидности немедленно требовать свои токены LP, теряя при этом вознаграждения в случае чрезвычайной ситуации, хакер утверждает, что функция не сработает, если в пуле SushiSwap нет вознаграждений, что вынуждает поставщиков ликвидности ждать, пока пул будет завершен.пополняется вручную в течение примерно 10-часового процесса, прежде чем они смогут вывести свои токены.
«Всем держателям подписей может потребоваться около 10 часов, чтобы дать согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений опустошаются несколько раз в месяц», – заявил хакер, добавив:
“SushiSwap’s non-Ethereum deployments and 2x rewards (all using the vulnerable MiniChefV2 and MasterChefV2 contracts) hold over $1 billion in total value. This means that this value is essentially untouchable for 10-hours several times a month.”
Тем не менее, псевдонимный разработчик SushiSwap обратился в Twitter, чтобы отвергнуть претензии, при этом «Shadowy Super Coder Mudit Gupta» платформы подчеркнул, что описанная угроза «не является уязвимостью» и что «никакие средства не подвергаются риску».
Гупта пояснил, что «любой» может пополнить пул вознаграждения в случае чрезвычайной ситуации, минуя большую часть 10-часового процесса с несколькими подписями, который, по утверждениям хакера, необходим для пополнения пула вознаграждений.Они добавили:
“The hacker’s claim that someone can put in a lot of lp to drain the rewarder faster is incorrect. Reward per LP goes down if you add more LP.”
Связанный: панель запуска токенов SushiSwap, MISO, взломанная на 3 миллиона долларов
Хакер сказал, что им было дано указание сообщить об уязвимости на платформе для выявления ошибок Immunefi, где SushiSwap предлагает выплатить вознаграждение в размере до 40 000 долларов пользователям, которые сообщают о рискованных уязвимостях в своем коде, после того, как они впервые обратились к бирже.
Они отметили, что вопрос был закрыт на Immunefi без компенсации, при этом SushiSwap заявил, что им было известно об описанном вопросе.
