Een bug die vier dagen geleden in SushiSwap werd geïntroduceerd, werd zaterdag laat uitgebuit om ongeveer $3,3 miljoen aan Ethereum van de rekening van één gebruiker te halen.
Volgens een Twitter post van blockchain beveiliging en data-analyse bedrijf PeckShield, was een portemonnee gecontroleerd door het slachtoffer – een prominent lid van de Crypto Twitter gemeenschap bekend als Sifu – het doelwit van een “goedkeuringsgerelateerde bug” in SushiSwap’s RouterProcessor2 contract om ongeveer 1800 ETH te stelen.
Het lijkt erop dat het @SushiSwap RouterProcessor2 contact een goedkeuringsgerelateerde bug heeft, die leidt tot het verlies van ☻$3.3M verlies (ongeveer 1800 eth) van @0xSifu
Als u https://t.co/E1YvC6VZsP heeft goedgekeurd, gelieve *REVOKE* ASAP!
Een voorbeeld hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
– PeckShield Inc. (@peckshield) April 9, 2023
Afzonderlijke analyse door het door Binance gesteunde cyberbeveiligingsbedrijf Ancilia stelde vast dat het lek zat in het niet valideren van toegangsrechten halverwege een swaptransactie. Het bedrijf vond het kwetsbare contract ook op het Polygon netwerk.
3/ De hoofdoorzaak is dat in de interne swap() functie, het swapUniV3() aanroept om variabele “lastCalledPool” in te stellen die op opslagslot 0x00 staat. Later in de swap3callback functie wordt de toestemmingscontrole omzeild. pic.twitter.com/LN0Ppsob9a
– Ancilia, Inc. (@AnciliaInc) April 9, 2023
SushiSwap “head chef” Jared Gray bevestigde de bug en exploit ongeveer een uur later, en herhaalde de aanbeveling van Peckshield dat gebruikers die interactie hebben gehad met de SushiSwap blockchain alle permissies herroepen die aan zijn contracten zijn verleend. Grey had het nieuws over de SEC dagvaarding van SushiSwap twee weken geleden bekend gemaakt.
Zondagochtend vroeg volgde SushiSwap CTO Matthew Lilley met meer details.
We werken momenteel met man en macht aan de identificatie van alle adressen die getroffen zijn door de RouterProcessor2 exploit. Lilley schreef. “Verschillende reddingen zijn gestart, en we blijven monitoren / reddingsfondsen als ze beschikbaar komen.”
“Er is op dit moment geen risico met het gebruik van het Sushi Protocol, en de UI,” vervolgde hij. “Alle blootstelling aan RouterProcessor2 is verwijderd van het front-end, en alle [liquiditeitsverschaffende en] huidige swapactiviteit is veilig om te doen.”
Om gebruikers te helpen bepalen of hij of zij RouteProcessor2 toegang had verleend tot zijn fondsen, plaatste Lilley een link naar een tool om te controleren op blootstelling over verschillende netwerken, waaronder Ethereum, Polygon, Avalange, Arbitrum, Gnosis, Optimism, en anderen.
Volgens Grey zijn sindsdien meer dan 300 ETH van Sifu’s gestolen fondsen teruggevonden en zijn er nog eens 700 ETH in behandeling. De herstelpoging is gevolgd door cryptovisualisatiedienst MetaSleuth.
@SushiSwap RouteProcessor2 werd aangevallen, en sifuvision.eth @0xSifu verloor hierdoor 1800 ETH. We traceerden de gestolen fondsen en presenteerden ze als volgt.
De eerste aanvaller (0x9deff) heeft 90 ETH teruggegeven (van de 100 gestolen). BlockSec heeft 100 ETH gered en zal het binnenkort teruggeven. De… https://t.co/sMqzNiDL5p pic.twitter.com/kGrt9cifIS– MetaSleuth (@MetaSleuth) April 9, 2023
Ondanks de hack is de prijs van SushiSwap’s SUSHI token in de afgelopen 24 uur slechts licht gedaald, met ongeveer 3%.
In 2021 ontsnapte SushiSwap ternauwernood aan een massale hack toen een “white hat” crypto-onderzoeker een biedingsbug ontdekte die voor $350 miljoen uitgebuit had kunnen worden.