Ein vor vier Tagen in SushiSwap eingeführter Fehler wurde am späten Samstag ausgenutzt, um Ethereum im Wert von 3,3 Millionen Dollar vom Konto eines einzelnen Nutzers zu entwenden.
Laut einem Twitter-Post des Blockchain-Sicherheits- und Datenanalyse-Unternehmens PeckShield wurde eine Wallet, die von dem Opfer – einem prominenten Mitglied der Crypto-Twitter-Community, bekannt als Sifu – kontrolliert wurde, von einem „genehmigungsbezogenen Fehler“ im RouterProcessor2-Vertrag von SushiSwap angegriffen, um etwa 1.800 ETH zu stehlen.
Es scheint, dass der @SushiSwap RouterProcessor2 Kontakt einen „approve-related bug“ hat, der zum Verlust von ☻$3.3M Verlust (ca. 1800 eth) von @0xSifu führt.
Wenn Sie https://t.co/E1YvC6VZsP genehmigt haben, bitte *REVOKE* ASAP!
Ein Beispiel hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
– PeckShield Inc. (@peckshield) April 9, 2023
Eine separate Analyse des von Binance unterstützten Cybersicherheitsunternehmens Ancilia ergab, dass die Schwachstelle darin bestand, dass die Zugriffsberechtigungen auf halbem Weg durch eine Swap-Transaktion nicht überprüft wurden. Das Unternehmen fand den anfälligen Vertrag auch im Polygon-Netzwerk:
3/ Die Ursache liegt darin, dass in der internen swap()-Funktion swapUniV3() aufgerufen wird, um die Variable „lastCalledPool“ zu setzen, die sich am Speicherplatz 0x00 befindet. Später in der swap3callback-Funktion wird die Berechtigungsprüfung umgangen. pic.twitter.com/LN0Ppsob9a
– Ancilia, Inc. (@AnciliaInc) April 9, 2023
SushiSwap-„Chefkoch“ Jared Gray bestätigte den Fehler und das Exploit etwa eine Stunde später und wiederholte die Empfehlung von Peckshield, dass Nutzer, die mit der SushiSwap-Blockchain interagiert haben, alle für die Verträge erteilten Berechtigungen widerrufen sollten. Grey hatte vor zwei Wochen die Nachricht von der SEC-Vorladung von SushiSwap verbreitet.
Am frühen Sonntagmorgen meldete sich SushiSwap-CTO Matthew Lilley mit weiteren Details:
Wir arbeiten derzeit mit Hochdruck daran, alle Adressen zu identifizieren, die von dem RouterProcessor2-Exploit betroffen sind. Lilley schrieb. „Es wurden bereits mehrere Rettungsmaßnahmen eingeleitet, und wir überwachen und retten die Mittel weiter, sobald sie verfügbar sind.
„Es besteht derzeit kein Risiko bei der Verwendung des Sushi-Protokolls und der Benutzeroberfläche“, so Lilley weiter. „Jegliche Exposition gegenüber RouterProcessor2 wurde aus dem Frontend entfernt, und alle [Liquiditätsbereitstellung und] aktuellen Swap-Aktivitäten sind sicher.“
Um Nutzern zu helfen, herauszufinden, ob sie RouterProcessor2 Zugang zu ihren Geldern gewährt haben, hat Lilley einen Link zu einem Tool gepostet, mit dem sie die Exposition in einer Vielzahl von Netzwerken überprüfen können, darunter Ethereum, Polygon, Avalange, Arbitrum, Gnosis, Optimism und andere.
Laut Grey wurden inzwischen mehr als 300 ETH von Sifus gestohlenen Geldern wiederbeschafft, weitere 700 ETH sind in Bearbeitung. Die Wiederbeschaffungsbemühungen wurden vom Krypto-Visualisierungsdienst MetaSleuth
verfolgt.
@SushiSwap RouteProcessor2 wurde angegriffen, und sifuvision.eth @0xSifu verlor dadurch 1800 ETH. Wir verfolgten die gestohlenen Gelder und stellten sie wie folgt dar.
Der erste Angreifer (0x9deff) hat 90 ETH (von 100 gestohlenen) zurückgegeben. BlockSec hat 100 ETH gerettet und wird sie in Kürze zurückgeben. Die… https://t.co/sMqzNiDL5p pic.twitter.com/kGrt9cifIS– MetaSleuth (@MetaSleuth) April 9, 2023
Trotz des Hacks ist der Preis des SushiSwap-Tokens SUSHI in den letzten 24 Stunden nur leicht gesunken, um etwa 3 %.
Im Jahr 2021 entging SushiSwap nur knapp einem massiven Hack, als ein „White Hat“-Kryptoforscher einen Bietungsfehler entdeckte, der in Höhe von 350 Millionen Dollar hätte ausgenutzt werden können.