Der Entwickler hinter der beliebten dezentralen Börse SushiSwap hat eine angebliche Sicherheitslücke zurückgewiesen, die von einem White-Hat-Hacker gemeldet wurde, der seine Smart Contracts durchschnüffelt.
Laut Medienberichten soll der Hacker behauptet eine Schwachstelle identifiziert zu haben, durch die Benutzergelder im Wert von mehr als 1 Milliarde US-Dollar bedroht werden könnten, und gab an, dass sie die Informationen öffentlich gemacht hatten, nachdem Versuche, die Entwickler von SushiSwap zu erreichen, zu Untätigkeit geführt hatten.
Der Hacker behauptet, in zwei von SushiSwaps Verträgen, MasterChefV2 und MiniChefV2, eine „Schwachstelle innerhalb der Notfall-Auszahlungsfunktion identifiziert zu haben“ – Verträge, die die 2x-Belohnungsfarmen der Börse und die Pools auf SushiSwaps Nicht-Ethereum-Bereitstellungen wie Polygon, Binance Smart Chain und Avalanche regeln .
Während die EmergencyWithdraw-Funktion es Liquiditätsanbietern ermöglicht, ihre LP-Token sofort zu beanspruchen, während sie im Notfall Belohnungen verlieren, behauptet der Hacker, dass die Funktion fehlschlägt, wenn keine Belohnungen im SushiSwap-Pool gehalten werden – was die Liquiditätsanbieter zwingt, auf die Freigabe des Pools zu warten über einen ungefähr 10-stündigen Prozess manuell aufgefüllt, bevor sie ihre Token abheben können.
„Es kann ungefähr 10 Stunden dauern, bis alle Signaturinhaber dem Auffüllen des Prämienkontos zugestimmt haben, und einige Prämienpools sind mehrmals im Monat leer“, behauptete der Hacker und fügte hinzu:
„Die Nicht-Ethereum-Bereitstellungen von SushiSwap und die doppelten Belohnungen (alle unter Verwendung der anfälligen MiniChefV2- und MasterChefV2-Verträge) haben einen Gesamtwert von über 1 Milliarde US-Dollar. Das bedeutet, dass dieser Wert mehrmals im Monat 10 Stunden lang praktisch unantastbar ist.“
Der pseudonyme Entwickler von SushiSwap hat sich jedoch an Twitter gewandt, um die Behauptungen abzulehnen.
Gupta geklärt dass „jeder“ im Notfall den Rewarder des Pools aufstocken kann, wodurch ein Großteil des 10-Stunden-Multi-Sig-Prozesses umgangen wird, der laut Hacker benötigt wird, um den Rewards-Pool aufzufüllen. Sie fügten hinzu:
„Die Behauptung des Hackers, dass jemand viel lp einsetzen kann, um den Belohner schneller zu entleeren, ist falsch. Die Belohnung pro LP sinkt, wenn du mehr LP hinzufügst.“
Verwandt: Das Token-Launchpad von SushiSwap, MISO, wurde für 3 Millionen US-Dollar gehackt
Der Hacker sagte, er sei angewiesen worden, die Schwachstelle auf der Bug-Bounty-Plattform Immunefi zu melden – wo SushiSwap anbietet, Belohnungen von bis zu 40.000 US-Dollar an Benutzer zu zahlen, die riskante Schwachstellen in ihrem Code melden – nachdem sie sich zum ersten Mal an die Börse gewandt haben.
Sie stellten fest, dass das Problem bei Immunefi ohne Entschädigung geschlossen wurde, wobei SushiSwap erklärte, dass ihnen die beschriebene Angelegenheit bekannt sei.