Home » Un fallo en el contrato inteligente de SushiSwap se aprovecha para robar 3,3 millones de dólares

Un fallo en el contrato inteligente de SushiSwap se aprovecha para robar 3,3 millones de dólares

by Tim

Un fallo introducido en SushiSwap hace cuatro días fue explotado a última hora del sábado para drenar alrededor de 3,3 millones de dólares en Ethereum de la cuenta de un solo usuario.

Según una publicación en Twitter de la empresa de seguridad de blockchain y análisis de datos PeckShield, una billetera controlada por la víctima -un miembro prominente de la comunidad Crypto Twitter conocido como Sifu- fue blanco de un «error relacionado con la aprobación» en el contrato RouterProcessor2 de SushiSwap para robar alrededor de 1.800 ETH.

Un análisis separado realizado por la empresa de ciberseguridad Ancilia, respaldada por Binance, determinó que el fallo consistía en no validar los permisos de acceso a mitad de una transacción de intercambio. La empresa también encontró el contrato vulnerable en la red Polygon.

El «jefe de cocina» de SushiSwap, Jared Gray, confirmó el fallo y el exploit aproximadamente una hora después, y repitió la recomendación de Peckshield de que los usuarios que hayan interactuado con la blockchain de SushiSwap revoquen todos los permisos concedidos a sus contratos. Grey había dado la noticia de la citación de SushiSwap por parte de la SEC hace dos semanas.

El domingo por la mañana, el director técnico de SushiSwap, Matthew Lilley, dio más detalles.
Estamos trabajando para identificar todas las direcciones afectadas por el exploit RouterProcessor2. Lilley escribió. «Se han iniciado varios rescates, y continuamos monitoreando / rescatando fondos a medida que estén disponibles».

«No hay riesgo en este momento con el uso de Sushi Protocolo, y la interfaz de usuario», continuó. «Toda la exposición a RouterProcessor2 se ha eliminado de la parte delantera, y todo [la provisión de liquidez y] la actividad de intercambio actual es seguro de hacer.»

Para ayudar a los usuarios a determinar si él o ella había concedido a RouteProcessor2 acceso a sus fondos, Lilley publicó un enlace a una herramienta para comprobar la exposición a través de una variedad de redes, incluyendo Ethereum, Polygon, Avalange, Arbitrum, Gnosis, Optimism, y otros.

Según Grey, más de 300 ETH de los fondos robados de Sifu han sido recuperados desde entonces, con otros 700 ETH en proceso. El esfuerzo de recuperación ha sido rastreado por el servicio de visualización de cripto MetaSleuth.

A pesar del pirateo, el precio del token SUSHI de SushiSwap sólo ha bajado ligeramente en las últimas 24 horas, alrededor de un 3%.

En 2021, SushiSwap evitó por poco un pirateo masivo cuando un investigador de criptomonedas «de sombrero blanco» descubrió un error en las pujas que podría haber sido explotado por valor de 350 millones de dólares.

Related Posts

Leave a Comment