Atak hakerski na protokół SushiSwap! Natychmiast zabezpieczcie swoje kryptowaluty

1 rok temu

Dzisiaj, tj. 9 kwietnia 2023 r. zgłoszono, iż popularny DEX SushiSwap padł ofiarą ataku hakerskiego. Drenowane są kolejne kryptowaluty, a tylko jeden z portfeli poniósł stratę w wysokości ponad 3,3 milionów dolarów. Wektorem ataku okazał się być błąd w kontrakcie RouterProcessor2, który jest odpowiedzialny za przekierowywanie transakcji i zarządzanie płynnością. Zalecamy wszystkich do podjęcia działań w celu zabezpieczenia Waszych portfeli kryptowalutowych choćby o ile nie korzystaliście z protokołu SushiSwap.

Błąd w kodzie SushiSwap = skradzione kryptowaluty

Konkretniej mówiąc exploit był związany z błędem w mechanizmie „approve” smart kontraktu, który pozwala użytkownikom na udzielenie zgody na wykorzystywanie ich tokenów w transakcjach. Według wstępnych ustaleń luka w zabezpieczeniach pozwalała cyberprzestępcy na kradzież środków użytkowników którzy weszli w interakcje z SushiSwap w przeciągu ostatnich czterech dni. Później zrewidowano ten okres do dwóch tygodni.

Atakującym udało się do tej pory wykraść 100 ETH (ok. 330 000 dolarów) w pierwszej serii, a kolejnemu aż 1800 ETH (ok. 5,9 mln USD). Według niepotwierdzonych doniesień pierwsza z kradzieży mogła mieć charakter tzw. ataku białego kapelusza, jak w żargonie cyberbezpieczeństwa nazywa się osoby które wykorzystują luki w zabezpieczeniach w celu zwrócenia uwagi na problem i jedynie zabezpieczają zagrożone fundusze.

Zespół SushiSwap i eksperci ds. cyberbezpieczeństwa gwałtownie zidentyfikowali błąd w kodzie i zalecili użytkownikom protokołu cofnięcie wyrażonych w portfelach kryptowalutowych zgód na wszystkich łańcuchach (także np. Arbitrum).

Ekspert zespołu DeFi Llama o pseudonimie @0xngmi opublikował w mediach społecznościowych listę zgód na wszystkich sieciach które powinny zostać niezwłocznie unieważnione przez użytkownika i zbudował choćby narzędzie do sprawdzenia, czy któryś z naszych adresów został dotknięty przez exploit. Analityk The Block Research Kevin Peng zauważył, iż 190 adresów na sieci Ethereum zatwierdziło problematyczny kontrakt, podczas gdy na sieci Arbitrum było to ponad 2000 adresów.

Built a website to check if any of your addresses got impacted by sushi hack, tells you which tokens need revoking

– It will never ask you to sign anything
– Even if it reports nothing you could still be impacted, my api keys will get rate-limitedhttps://t.co/3nB7EY7t2h

— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023

Pomimo ataku cena tokena SUSHI spadła o zaledwie 0,6% w ciągu godziny od pojawienia się wiadomości o kradzieży środków. Może się to jednak zmienić jak tylko okaże się, iż większa liczba użytkowników została dotknięta problemem.

SushiSwap to zdecentralizowana giełda wymiany tokenów kryptowalutowych (ang. Decentralized Exchange – DEX – przyp. red.), która działa na blockchainie Ethereum. DEXy takie jak SushiSwap pozwalają użytkownikom handlować kryptowalutami bez potrzeby centralnego organu lub pośrednika. Zamiast tego użytkownicy wchodzą w interakcję z inteligentnymi kontraktami, które automatycznie wykonują transakcje w oparciu o wcześniej zdefiniowane zasady i warunki.

Idź do oryginalnego materiału