Un bug introduit dans SushiSwap il y a quatre jours a été exploité samedi en fin de journée pour drainer environ 3,3 millions de dollars d’Ethereum du compte d’un seul utilisateur.
Selon un message Twitter de la société de sécurité blockchain et d’analyse de données PeckShield, un portefeuille contrôlé par la victime – un membre éminent de la communauté Crypto Twitter connu sous le nom de Sifu – a été ciblé par un « bug lié à l’approbation » dans le contrat RouterProcessor2 de SushiSwap pour voler environ 1 800 ETH.
Il semble que le contact RouterProcessor2 de @SushiSwap ait un bug lié à l’approbation, ce qui entraîne une perte de ☻$3.3M (environ 1800 eth) de @0xSifu
Si vous avez approuvé https://t.co/E1YvC6VZsP, veuillez *REVOKE* dès que possible !
Un exemple de hack tx : https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
– PeckShield Inc. (@peckshield) April 9, 2023
Une analyse séparée effectuée par Ancilia, société de cybersécurité soutenue par Binance, a déterminé que la faille était due à l’absence de validation des autorisations d’accès à mi-chemin d’une transaction de swap. L’entreprise a également trouvé le contrat vulnérable sur le réseau Polygon.
3/ La cause principale est que dans la fonction interne swap(), elle appellera swapUniV3() pour définir la variable « lastCalledPool » qui se trouve dans l’emplacement de stockage 0x00. Plus tard, dans la fonction swap3callback, le contrôle de permission est contourné. pic.twitter.com/LN0Ppsob9a
– Ancilia, Inc. (@AnciliaInc) Le 9 avril 2023
Le « chef » de SushiSwap, Jared Gray, a confirmé le bogue et l’exploit environ une heure plus tard, et a réitéré la recommandation de Peckshield selon laquelle les utilisateurs ayant interagi avec la blockchain SushiSwap devraient révoquer toutes les autorisations accordées à ses contrats. Grey avait annoncé l’assignation de SushiSwap par la SEC il y a deux semaines.
Tôt dimanche matin, le directeur technique de SushiSwap, Matthew Lilley, a donné plus de détails.
Nous sommes actuellement tous sur le pont pour identifier toutes les adresses qui ont été affectées par l’exploit RouterProcessor2. Lilley a écrit. « Plusieurs sauvetages ont été lancés et nous continuons à surveiller les fonds de sauvetage au fur et à mesure qu’ils sont disponibles.
« Il n’y a actuellement aucun risque à utiliser le protocole Sushi et l’interface utilisateur », poursuit-il. « Toute exposition à RouterProcessor2 a été supprimée de la partie frontale, et toutes les activités [d’apport de liquidités et] de swaps actuels peuvent être effectuées en toute sécurité. »
Pour aider les utilisateurs à déterminer s’ils ont accordé à RouteProcessor2 l’accès à ses fonds, Lilley a publié un lien vers un outil permettant de vérifier l’exposition à travers une variété de réseaux, y compris Ethereum, Polygon, Avalange, Arbitrum, Gnosis, Optimism, et d’autres.
Selon Grey, plus de 300 ETH des fonds volés à Sifu ont depuis été récupérés, et 700 autres ETH sont en cours de traitement. L’effort de récupération a été suivi par le service de visualisation cryptographique MetaSleuth.
@SushiSwap RouteProcessor2 a été attaqué, et sifuvision.eth @0xSifu a perdu 1800 ETH à cause de cela. Nous avons suivi les fonds volés et les avons présentés comme suit.
Le premier attaquant (0x9deff) a rendu 90 ETH (sur les 100 volés). BlockSec a récupéré 100 ETH et les rendra sous peu. Le… https://t.co/sMqzNiDL5p pic.twitter.com/kGrt9cifIS– MetaSleuth (@MetaSleuth) April 9, 2023
Malgré le piratage, le prix du jeton SUSHI de SushiSwap n’a que légèrement baissé au cours des dernières 24 heures, d’environ 3 %.
En 2021, SushiSwap a évité de justesse un piratage massif lorsqu’un chercheur en cryptomonnaies « chapeau blanc » a découvert un bug dans les enchères qui aurait pu être exploité à hauteur de 350 millions de dollars.
