Reason to trust
How Our News is Made
Strict editorial policy that focuses on accuracy, relevance, and impartiality
Ad discliamer
Morbi pretium leo et nisl aliquam mollis. Quisque arcu lorem, ultricies quis pellentesque nec, ullamcorper eu odio.
9 апреля появились сообщения об ошибке в функции SushiSwap, которая привела к потере миллионов долларов. Джаред Грей, генеральный директор SushiSwap, позже подтвердил эксплойт и предоставил подробную информацию о действиях, предпринятых для решения проблемы.
Главной жертвой эксплойта, вызванного «ошибкой, связанной с утверждением» в контракте SushiSwap RouterProcessor2, стал видный член сообщества Crypto Twitter, известный как Sifu, из кошелька которого было украдено около 1800 ETH, по данным криптоаналитической фирмы PeckShield. Фирма по кибербезопасности Ancilia пришла к выводу, что уязвимость возникла из-за невозможности проверки прав доступа во время транзакции обмена. Согласно Ancilia, причина «заключается в том, что во внутренней функции swap() вызывает swapUniV3() для установки переменной lastCalledPool, которая находится в слоте хранения 0x00».
Другими словами, одобряя плохой контракт, пользователи непреднамеренно разрешают эксплуататору использовать свои токены через функцию «yoink» из-за ошибки в механизме «одобрения» контракта маршрутизатора SushiSwap. «Ошибка позволяет неавторизованному лицу по сути «обменять» токены без надлежащего одобрения владельца токена», — объясняет аналитик Block Research Брэд Кей. «После первой атаки на 100 ETH — возможно, выполненной белым хакером — похоже, пришел другой хакер и украл еще 1800 ETH, используя тот же контракт, но вместо этого назвал свою функцию «notyoink».
Эксплойт мог затронуть пользователей, совершавших обменные транзакции за последние 4 дня. В целях безопасности необходимо отменить одобрения как можно быстрее и переместить средства в новый кошелек. По словам аналитика Block Research Кевина Пэна, проблемный контракт был одобрен 190 адресами Ethereum. SushiSwap опубликовали инструкцию для охраны цифровых активов и призвали сообщать о всех случаях кражи. Джаред Грей , генеральный директор SushiSwap, сообщил, что пользователю Sifu удалось вернуть 300 ETH и еще 700 ETH находятся в процессе возврата.
Команда SushiSwap также предоставила ссылку, которую трейдеры могут использовать для проверки своих счетов и отзыва любых разрешений, если это необходимо.
