Разработчик децентрализованной биржи SushiSwap опроверг обнаружение «белым хакером» предполагаемой уязвимости, которая может обойтись протоколу в $1 млрд.
Сегодня ночью «белый хакер» CryptoWilfred опубликовал в своем Твиттере несколько записей об обнаруженной им уязвимости на платформе SushiSwap, которая может поставить под угрозу криптоактивы пользователей на $1 млрд. Он заявил, что решил обнародовать информацию после того, как попытки связаться с разработчиками SushiSwap ни к чему не привели.
Thread on #Sushiswap Vulnerability
1/ A vulnerability with SushiSwap's emergencyWithdraw function means users cannot stake, harvest or withdraw LP tokens from affected pools when the pool runs out of rewards. https://t.co/s9bHpciENR
— Wilfred Michael (@CryptoWilfred) September 22, 2021
Хакер утверждает, что обнаружил уязвимость в функции emergencyWithdraw в двух смарт-контрактах SushiSwap, MasterChefV2 и MiniChefV2, которые регулируют работу ферм двукратного вознаграждения биржи и пулы в развертываниях SushiSwap на Polygon, Binance Smart Chain и Avalanche.
Функция emergencyWithdraw позволяет поставщикам ликвидности немедленно вывести свои криптоактивы, теряя при этом вознаграждения в случае возникновения чрезвычайной ситуации. Однако хакер утверждает, что эта функция не сработает, если в пуле SushiSwap нет вознаграждений. Следствием этого станет длительное ожидание для поставщиков ликвидности того момента, когда пока пул будет пополнен вручную, что может занимать около десяти часов. Только после этого вывод криптоактивов в рамках функции станет доступен.
«Всем держателям подписей может потребоваться около десяти часов, чтобы дать согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений оказываются пустыми несколько раз в месяц», — заявил хакер. «Развертывание SushiSwap без использования Ethereum и двукратные вознаграждения (все с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) имеют криптоактивы стоимостью более $1 млрд. Это означает, что все эти деньги могут быть по сути заблокированы для пользователей в течение десяти часов несколько раз в месяц».
Один из анонимных разработчиков SushiSwap написал в Твиттере, что угроза «не представляет собой уязвимость» и что деньги пользователей в безопасности. Он пояснил, что любой держатель подписи может пополнить пул вознаграждения в случае чрезвычайной ситуации, минуя большую часть десятичасового процесса с несколькими подписями. Согласно заявлению разработчика:
This is not a vulnerability. No funds at risk. If rewarder runs out of rewards, withdrawing LP will fail but anyone (not just sushi) can top up the rewarder in an emergency.
Sushi can also just remove the rewarder.
— Mudit Gupta (@Mudit__Gupta) September 23, 2021
«Утверждение хакера о том, что кто-то может добавить много поставщиков ликвидности, чтобы быстрее получить вознаграждение, неверно. Чем больше поставщиков ликвидности, тем меньше вознаграждение для каждого из них».
Хакер заявил, что рассказал об уязвимости на платформе выявления ошибок Immunefi, где SushiSwap предлагает выплатить вознаграждение в размере до $40 000 за сообщения о критических ошибках в протоколе. Однако заявка была закрыта без выплаты вознаграждения — разработчики SushiSwap ответили, что осведомлены о ситуации.
На прошлой неделе разработчики децентрализованной биржи SushiSwap сообщили, что в результате хакерской атаки с платформы для продажи токенов MISO были украдены 864 ETH. Ранее на платформе MISO уже были выявлены уязвимости. В августе SushiSwap избежала взлома на $365 млн благодаря «белому хакеру».