هک ۳/۳ میلیون دلاری بخاطر باگ تایید در صرافی سوشی سوآپ (SushiSwap)

بر اساس چندین گزارش امنیتی در توییتر، یک اشکال در یکی از قراردادهای هوشمند در پروتکل سوشی سوآپ غیرمتمرکز مالی دیفای منجر به ضرر بیش از ۳ میلیون دلاری در ساعات اولیه نهم آوریل شد.

شرکت‌های امنیتی بلاک‌چین Certik Alert و Peckshield درباره یک فعالیت غیرمعمول مرتبط با پروسه تأیید در قرارداد Sushi’s Router Processor 2 پست کردند–یک قرارداد هوشمند که نقدینگی را از منابع مختلف جمع‌آوری می‌کند و مطلوب‌ترین قیمت را برای مبادله کوین‌ها مشخص می‌کند. در عرض چند ساعت، این باگ منجر به یک ضرر ۳/۳ میلیون دلاری شد.

به گفته یکی از توسعه‌دهندگان سایت DefiLlama با نام مستعار 0xngmi، این هک احتمالاً فقط بر کاربرانی تأثیر می‌گذارد که در چهار روز گذشته از پروتکل استفاده کرده‌اند.

جرد گری، توسعه‌دهنده اصلی سوشی از کاربران خواست تا مجوزهای تمام قراردادهای موجود در پروتکل را لغو کنند. او خاطرنشان کرد: «قرارداد RouteProcessor2 Sushi دارای یک باگ در پروسه تایید است؛ لطفاً تاییدیه را در اسرع وقت لغو کنید. ما در حال کار با تیم‌های امنیتی برای رفع این مشکل هستیم.» 

برای رفع این مشکل، لیستی از قراردادها با بلاک چین‌های مختلف که نیاز به لغو دارند در GitHub ایجاد شده است.

ساعاتی پس از این اتفاق، گری در توییتر اعلام کرد که بخش بزرگی از وجوه آسیب‌دیده از طریق یک فرآیند امنیتی کلاه سفید (whitehat) بازیابی شده است.

گفته شده که ۳۰۰ اتریوم از وجوه آسیب‌دیده مربوط به CoffeeBabe بازیابی شده است. تیم سوشی سوآپ اعلام کرده که ۷۰۰ اتریوم مربوط به تیم Lido هم بازیابی خواهد شد.

این تیم آخر هفته سختی را پشت سر گذاشته است. در هشتم آوریل، گری و وکیلش نظراتی را در مورد احضاریه اخیر کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) ارائه کردند.

تحقیقات کمیسیون بورس و اوراق بهادار ایالات متحده شامل یک تحقیق غیرعمومی و تیم حقیقت‌یاب است که تلاش می‌کند تا مشخص کند که آیا قوانین اوراق بهادار فدرال نقض شده است یا خیر. تا آنجا که ما می‌دانیم، کمیسیون بورس و اوراق بهادار ایالات متحده (تا لحظه نگارش این خبر) هیچ‌گونه نتیجه‌گیری نداشته است.

گری ادعا می‌کند که با تیم تحقیقات همکاری می‌کند.