SushiSwap platformunda bir hata gerçekleşti. Bu yüzden, birisinin hesabından yaklaşık 3,3 milyon dolar değerinde Ethereum boşaldı.
Sifu, SushiSwap‘in RouterProcessor2 sözleşmesindeki onayla ilgili bir hata tarafından hedef alındı.
Amaç, yaklaşık 1.800 ETH’i çalmaktı
Binance destekli siber güvenlik firması Ancilia tarafından yapılan ayrı bir analiz, kusurun bir takas işleminin ortasında erişim izinlerini doğrulamadaki başarısızlık olduğunu belirledi. Bu sayede, firma güvenlik açığı bulunan sözleşmeyi Polygon ağında buldu.
”Temel neden, dahili swap() işlevinde, 0x00 depolama yuvasındaki ‘lastCalledPool’ değişkenini ayarlamak için swapUniV3()’ü çağırmasıydı. Swap3callback işlevinde izin kontrolü düzeldi.”
SushiSwap baş şefi Jared Gray hatayı ve istismarı doğruladı. Peckshield’ın SushiSwap blok zinciriyle etkileşime giren kullanıcıların sözleşmelerine verilen tüm izinleri iptal etmesi yönündeki tavsiyesini tekrarladı.
Gray, SushiSwap’in SEC mahkeme celbi haberini iki hafta öne yayınladı. Ayrıca, SushiSwap CTO’su Matthew Lilley, daha fazla ayrıntıya yer verdi:
”RouterProcessor2 istismarından etkilenen tüm adresleri belirlemek için çalışıyoruz. Birkaç kurtarma işlemi başlattık. Fonlar kullanılabilir oldukça onları izlemeye / kurtarmaya devam ediyoruz. Sushi Protokolünü kullanmanın hiçbir riski bulunmuyor ancak RouterProcessor2’ye yönelik tüm maruz kalma, ön uçtan kalktı. Takas etkinliği tamamen güvenli hale geldi.”
Kullanıcıların, RouteProcessor2’ye fonlarına erişim izni verip vermediğini belirlemelerine yardımcı olmak için Lilley, bir adrese bir bağlantı gönderdi.
Grey’e göre, Sifu’nun çalınan fonlarından 300 ETH’den fazlasını kurtardılar ancak 700 ETH daha işlemde gözüküyor. MetaSleuth, kripto görselleştirme hizmetini yakından izledi.
Saldırı yüzünden SushiSwap’in SUSHI jetonunun fiyatı arttı fakat son 24 saatte yaklaşık %3 düştü.
Beyaz şapkalı bir kripto araştırmacısı da 2021 yılında 350 milyon dolarlık bir teklif verme hatası keşfetmişti. SushiSwap büyük bir saldırıdan kıl payı kurtulmuştu.