SushiSwap опровергает сообщения о баге, который может привести к потере миллиарда долларов

Теги: хакерыDeFi

Хакер утверждает, что ему не выплатили вознаграждение за находку.

DeFi-проект SushiSwap опроверг сообщения «белого» хакера о наличии уязвимости в протоколе. 

Хакер утверждает, что обнаружил баг, который может поставить под угрозу средства пользователей на сумму более $1 млрд. Он заявил, что обнародовал информацию после того, как попытки добиться действий от разработчиков SushiSwap ни к чему не привели. 

Уязвимость «пряталась» в функции emergencyWithdraw в двух контрактах SushiSwap –  MasterChefV2 и MiniChefV2, которые управляют вознаграждениями на бирже и пулами, которые не базируются на Ethereum. Функция позволяет поставщикам ликвидности в случае непредвиденной ситуации немедленно получить свои токены, потеряв при этом вознаграждение. Хакер утверждает, что функция не сработает, если в пуле SushiSwap нет вознаграждения, что вынуждает поставщиков ликвидности ждать, пока пул будет пополнен вручную в течение примерно 10 часов, прежде чем они смогут вывести свои токены. Это полностью лишает функцию смысла. 

Однако разработчик SushiSwap опроверг эти заявления в Twitter. Мудит Гупта подчеркнул, что описанная угроза «не является уязвимостью» и что «никакие средства не подвергаются риску». Гупта пояснил, что любой может пополнить пул вознаграждений в случае чрезвычайной ситуации, минуя 10-часовой период, который, по утверждению хакера, необходим для пополнения пула вознаграждений.

По словам хакера, когда он впервые обратился к SushiSwap, ему предложили сообщить о баге на платформе по выплате баунти за найденные ошибки в коде. Однако после того, как он опубликовал свою находку на сервисе, баг исправили, но вознаграждение он не получил. При этом SushiSwap заявила, что была в курсе описанного бага.

Напомним, что недавно с платформы MISO компании SushiSwap была похищена криптовалюта на $3 млн. C помощью дескриптора GitHub «AristoK3» хакер внедрил вредоносный код во внешний интерфейс MISO и похитил 864,8 ETH. 

← Назад Поделиться:

Рекомендации

Хакер похитил из пулов Balancer свыше $500 тыс. в криптовалюте

Aртем Галунoв2 мин
Хакер атаковал проект Akropolis и вывел из его пула $2 млн в стейблкоинах DAI

Ранее Akropolis прошел два независимых технических аудита — ни одна из проверок не выявила векторы атаки, которые использовались при взломе.

Aртем Галунoв2 мин

Хакер похитил $25 млн из DeFi-протокола Harvest Finance — токен обвалился на 50%

Разработчики заявили, что располагают значительным объемом информации о преступнике. По их словам, это хакер, который хорошо известен в криптосообществе.

Aртем Галунoв4 мин

Хакеры SushiSwap «заработали» $15 тыс. и благодарность разработчиков проекта

Представители стартапа обратили внимание на то, что прорыв системы безопасности помог сделать проект сильнее.

Евгения Лиходей2 мин

Хакеры вывели из пула DeFi-протокола Pickle Finance практически $20 млн в токенах DAI

Команда проекта заявила, что речь идет о сложной и комплексной атаке, в ходе которой не использовались флэш-кредиты.

Aртем Галунoв2 мин

DeFi-проект PancakeHunny потерял $1,9 млн из-за бага в коде расчета прибыли

Цена токена в результате атаки упала на 60%.

Алсу Закирова3 мин