SushiSwap опровергает сообщения о баге, который может привести к потере миллиарда долларов

Теги: хакерыDeFi

Хакер утверждает, что ему не выплатили вознаграждение за находку.

DeFi-проект SushiSwap опроверг сообщения «белого» хакера о наличии уязвимости в протоколе. 

Хакер утверждает, что обнаружил баг, который может поставить под угрозу средства пользователей на сумму более $1 млрд. Он заявил, что обнародовал информацию после того, как попытки добиться действий от разработчиков SushiSwap ни к чему не привели. 

Уязвимость «пряталась» в функции emergencyWithdraw в двух контрактах SushiSwap –  MasterChefV2 и MiniChefV2, которые управляют вознаграждениями на бирже и пулами, которые не базируются на Ethereum. Функция позволяет поставщикам ликвидности в случае непредвиденной ситуации немедленно получить свои токены, потеряв при этом вознаграждение. Хакер утверждает, что функция не сработает, если в пуле SushiSwap нет вознаграждения, что вынуждает поставщиков ликвидности ждать, пока пул будет пополнен вручную в течение примерно 10 часов, прежде чем они смогут вывести свои токены. Это полностью лишает функцию смысла. 

Однако разработчик SushiSwap опроверг эти заявления в Twitter. Мудит Гупта подчеркнул, что описанная угроза «не является уязвимостью» и что «никакие средства не подвергаются риску». Гупта пояснил, что любой может пополнить пул вознаграждений в случае чрезвычайной ситуации, минуя 10-часовой период, который, по утверждению хакера, необходим для пополнения пула вознаграждений.

По словам хакера, когда он впервые обратился к SushiSwap, ему предложили сообщить о баге на платформе по выплате баунти за найденные ошибки в коде. Однако после того, как он опубликовал свою находку на сервисе, баг исправили, но вознаграждение он не получил. При этом SushiSwap заявила, что была в курсе описанного бага.

Напомним, что недавно с платформы MISO компании SushiSwap была похищена криптовалюта на $3 млн. C помощью дескриптора GitHub «AristoK3» хакер внедрил вредоносный код во внешний интерфейс MISO и похитил 864,8 ETH. 

← Назад Поделиться:

Рекомендации

Один из крупнейших коммерческих банков Таиланда запустит DeFi-инкубатор и NFT-маркетплейс

Евгения Лиходей2 мин
Неизвестные вывели из DeFi-протокола Indexed Finance активы на $16 млн – обновлено

Разработчики еще не определились со стратегией возмещения убытков.

Евгения Лиходей2 мин

С платформы MISO компании SushiSwap похищена криптовалюта на $3 млн

Хакер подменил адрес кошелька при создании NFT-аукциона.

Елена Семенова2 мин

Инвесторы обвинили Cream Finance в экзит-скаме: проект взламывали дважды за 2021 год – обновлено

Представители проекта рассказали о потере крупной суммы в результате эксплойта.

Евгения Лиходей2 мин

Хакеры второй раз за месяц взломали DeFi-протокол Thorchain

Разработчики считают, что на этот раз они имеют дело с представителями движения whitehat.

Евгения Лиходей2 мин

Уязвимость позволила хакерам вывести из DeFi-протокола bZx более $8 млн

Разработчики bZx уже закрыли уязвимость, которая позволяла дублировать токены iToken. Специалисты утверждают, что средства пользователей находятся в безопасности.

Aртем Галунoв3 мин