9 апреля появились сообщения об ошибке в функции SushiSwap, которая привела к потере миллионов долларов. Джаред Грей, генеральный директор SushiSwap, позже подтвердил эксплойт и предоставил подробную информацию о действиях, предпринятых для решения проблемы.
Главной жертвой эксплойта, вызванного «ошибкой, связанной с утверждением» в контракте SushiSwap RouterProcessor2, стал видный член сообщества Crypto Twitter, известный как Sifu, из кошелька которого было украдено около 1800 ETH, по данным криптоаналитической фирмы PeckShield. Фирма по кибербезопасности Ancilia пришла к выводу, что уязвимость возникла из-за невозможности проверки прав доступа во время транзакции обмена. Согласно Ancilia, причина «заключается в том, что во внутренней функции swap() вызывает swapUniV3() для установки переменной lastCalledPool, которая находится в слоте хранения 0x00».
Другими словами, одобряя плохой контракт, пользователи непреднамеренно разрешают эксплуататору использовать свои токены через функцию «yoink» из-за ошибки в механизме «одобрения» контракта маршрутизатора SushiSwap. «Ошибка позволяет неавторизованному лицу по сути «обменять» токены без надлежащего одобрения владельца токена», — объясняет аналитик Block Research Брэд Кей. «После первой атаки на 100 ETH — возможно, выполненной белым хакером — похоже, пришел другой хакер и украл еще 1800 ETH, используя тот же контракт, но вместо этого назвал свою функцию «notyoink».
Эксплойт мог затронуть пользователей, совершавших обменные транзакции за последние 4 дня. В целях безопасности необходимо отменить одобрения как можно быстрее и переместить средства в новый кошелек. По словам аналитика Block Research Кевина Пэна, проблемный контракт был одобрен 190 адресами Ethereum. SushiSwap опубликовали инструкцию для охраны цифровых активов и призвали сообщать о всех случаях кражи. Джаред Грей , генеральный директор SushiSwap, сообщил, что пользователю Sifu удалось вернуть 300 ETH и еще 700 ETH находятся в процессе возврата.
Команда SushiSwap также предоставила ссылку, которую трейдеры могут использовать для проверки своих счетов и отзыва любых разрешений, если это необходимо.
