Un fallo introducido en SushiSwap hace cuatro días fue explotado a última hora del sábado para drenar alrededor de 3,3 millones de dólares en Ethereum de la cuenta de un solo usuario.
Según una publicación en Twitter de la empresa de seguridad de blockchain y análisis de datos PeckShield, una billetera controlada por la víctima -un miembro prominente de la comunidad Crypto Twitter conocido como Sifu- fue blanco de un «error relacionado con la aprobación» en el contrato RouterProcessor2 de SushiSwap para robar alrededor de 1.800 ETH.
Parece que el contacto @SushiSwap RouterProcessor2 tiene un bug relacionado con la aprobación, que lleva a la pérdida de ☻3,3M$ de pérdidas (unos 1800 eth) de @0xSifu
¡Si has aprobado https://t.co/E1YvC6VZsP, por favor *REVOKE* ASAP!
Un ejemplo hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
– PeckShield Inc. (@peckshield) 9 de abril de 2023
Un análisis separado realizado por la empresa de ciberseguridad Ancilia, respaldada por Binance, determinó que el fallo consistía en no validar los permisos de acceso a mitad de una transacción de intercambio. La empresa también encontró el contrato vulnerable en la red Polygon.
3/ La causa raíz se debe a que en la función interna swap(), llamará a swapUniV3() para establecer la variable «lastCalledPool» que se encuentra en la ranura de almacenamiento 0x00. Más tarde en la función swap3callback se salta la comprobación de permisos. pic.twitter.com/LN0Ppsob9a
– Ancilia, Inc. (@AnciliaInc) 9 de abril de 2023
El «jefe de cocina» de SushiSwap, Jared Gray, confirmó el fallo y el exploit aproximadamente una hora después, y repitió la recomendación de Peckshield de que los usuarios que hayan interactuado con la blockchain de SushiSwap revoquen todos los permisos concedidos a sus contratos. Grey había dado la noticia de la citación de SushiSwap por parte de la SEC hace dos semanas.
El domingo por la mañana, el director técnico de SushiSwap, Matthew Lilley, dio más detalles.
Estamos trabajando para identificar todas las direcciones afectadas por el exploit RouterProcessor2. Lilley escribió. «Se han iniciado varios rescates, y continuamos monitoreando / rescatando fondos a medida que estén disponibles».
«No hay riesgo en este momento con el uso de Sushi Protocolo, y la interfaz de usuario», continuó. «Toda la exposición a RouterProcessor2 se ha eliminado de la parte delantera, y todo [la provisión de liquidez y] la actividad de intercambio actual es seguro de hacer.»
Para ayudar a los usuarios a determinar si él o ella había concedido a RouteProcessor2 acceso a sus fondos, Lilley publicó un enlace a una herramienta para comprobar la exposición a través de una variedad de redes, incluyendo Ethereum, Polygon, Avalange, Arbitrum, Gnosis, Optimism, y otros.
Según Grey, más de 300 ETH de los fondos robados de Sifu han sido recuperados desde entonces, con otros 700 ETH en proceso. El esfuerzo de recuperación ha sido rastreado por el servicio de visualización de cripto MetaSleuth.
@SushiSwap RouteProcessor2 fue atacado, y sifuvision.eth @0xSifu perdió 1800 ETH debido a esto. Rastreamos los fondos robados y los presentamos de la siguiente manera.
El primer atacante (0x9deff) ha devuelto 90 ETH (de 100 robados). BlockSec rescató 100 ETH y los devolverá en breve. El… https://t.co/sMqzNiDL5p pic.twitter.com/kGrt9cifIS– MetaSleuth (@MetaSleuth) 9 de abril de 2023
A pesar del pirateo, el precio del token SUSHI de SushiSwap sólo ha bajado ligeramente en las últimas 24 horas, alrededor de un 3%.
En 2021, SushiSwap evitó por poco un pirateo masivo cuando un investigador de criptomonedas «de sombrero blanco» descubrió un error en las pujas que podría haber sido explotado por valor de 350 millones de dólares.
