SushiSwap
é vítima de hack: Chef de cozinha pede revogação imediata das transações
Recentemente, a exchange descentralizada SushiSwap foi
atingida por um exploit que resultou em uma perda de mais de US$ 3,3 milhões
para pelo menos um usuário.
O usuário em questão é conhecido como 0xSifu no Twitter. A
exploração envolveu um bug relacionado à aprovação no contrato
RouterProcessor2, que tanto a PeckShield quanto o SushiSwap Head Chef Jared
Gray recomendam revogar em todas as cadeias. A Ancilia, Inc. identificou que a
causa raiz do problema está relacionada à função swap() interna, que chamará
swapUniV3() para definir a variável "lastCalledPool" que está no slot
de armazenamento 0x00.
A conta de segurança cibernética acrescenta que “mais tarde
na função swap3callback, a verificação de permissão é ignorada”. Em outras
palavras, ao aprovar o contrato incorreto, os usuários, sem saber, permitem que
o explorador roube seus tokens. A função "yoink" foi usada pelo
primeiro invasor, devido ao vetor de ataque ser um bug no mecanismo de
"aprovação" do contrato do roteador SushiSwap.
Brad Kay, analista da The Block Research, disse que "o
bug permite que uma entidade não autorizada essencialmente 'jogue' tokens sem a
devida aprovação do proprietário do token". Após o primeiro ataque de 100
ETH - possivelmente um chapéu branco - parece que outro hacker apareceu e
roubou outro ETH de 1800 usando o mesmo contrato, mas nomeou sua função
"notyoink". Até agora, 190 endereços Ethereum aprovaram o contrato
problemático. No entanto, mais de 2.000 endereços no Layer 2 Arbitrum
aparentemente aprovaram o contrato ruim.
Os primeiros relatórios afirmam que poucos usuários do
SushiSwap estão atualmente em risco. De acordo com @0xngmi do DeFi Llama,
apenas aqueles que trocaram no SushiSwap nos últimos quatro dias devem ser
afetados. Eles também publicaram uma lista de contratos em todas as cadeias que
devem ser revogados e construíram uma ferramenta para verificar se algum de
seus endereços foi afetado.
O preço do token de governança do Sushi caiu apenas 0,6% na
hora desde a divulgação da notícia. Jared Gray twittou que o SushiSwap está
"trabalhando com equipes de segurança para mitigar o problema". Ele
também está buscando um fundo de defesa legal de $ 3 milhões do Sushi DAO
depois que o Sushi foi atingido por uma intimação da Comissão de Valores
Mobiliários dos EUA. Tanto ele quanto sua equipe estão investigando e
trabalhando para resolver a situação, e esperamos que os usuários sejam
protegidos contra possíveis danos futuros.