💬 Эксплойт распределения токенов SushiSwap истощает 3,3 миллиона долларов, поскольку пользователей призывают отменить разрешения на токены

Эксплойт распределения токенов SushiSwap истощает 3,3 миллиона долларов, поскольку пользователей призывают отменить разрешения на токены

В эти выходные охранная фирма PeckShield обнаружила критическую уязвимость в протоколе DeFi SushiSwap. Эксплойт связан с контрактом RouterProcessor2, используемым для маршрутизации сделок на бирже SushiSwap.

«Похоже, что в контакте SushiSwap RouterProcessor2 есть ошибка, связанная с одобрением, которая приводит к потере> 3,3 миллиона долларов (около 1800 eth) от 0xSifu», — написал PeckShield в Twitter. Главный разработчик SushiSwap Джаред Грей подтвердил проблему, призвав пользователей отозвать разрешения для всех контрактов на SushiSwap в качестве меры безопасности. Ошибка привела к потере более 3,3 миллиона долларов, в первую очередь затронув одного пользователя, 0xsifu, известного в сообществе Crypto Twitter.

Грей заявил,

«Контракт Sushi RouteProcessor2 имеет ошибку утверждения; Пожалуйста, отзовите одобрение как можно скорее. Мы работаем с командами безопасности, чтобы смягчить проблему».

«Контракт Sushi RouteProcessor2 имеет ошибку утверждения; Пожалуйста, отзовите одобрение как можно скорее. Мы работаем с командами безопасности, чтобы смягчить проблему».

По словам разработчика DefiLlama 0xngmi, эксплойт затронул пользователей, которые одобрили контракты SushiSwap в течение последних четырех дней. Тем временем группы безопасности продолжают расследовать проблему, отслеживают украденные средства и работают над возвращением пострадавших активов.

Возврат средств

«В настоящее время предпринимаются усилия по восстановлению», — сказал Джаред Грей, цитируя твит от MetaSleuth, в котором приводится разбивка украденных средств. Первый злоумышленник, 0x9deff, вернул 90 ETH из 100 украденных, а BlockSec спасла 100 ETH и пообещала вернуть их в ближайшее время. Переговоры между sifuvision.eth и c0ffeebabe.eth продолжаются, и большая часть украденных средств связана с «beaverbuild, rsync-builder и Lido: Execution Layer Rewards Vault».

BlockSecTeam признали свое участие в усилиях по восстановлению, написав в Твиттере,

«Мы знали, что @SushiSwap RouteProcessor2 подвергся атаке. Мы оценили возможный ущерб за последние несколько часов и обнародовали эту информацию только после того, как решили, что это безопасно: активы пользователей всегда являются нашим главным приоритетом. Кстати: мы спасли часть из них и опубликуем подробности позже».

«Мы знали, что @SushiSwap RouteProcessor2 подвергся атаке. Мы оценили возможный ущерб за последние несколько часов и обнародовали эту информацию только после того, как решили, что это безопасно: активы пользователей всегда являются нашим главным приоритетом. Кстати: мы спасли часть из них и опубликуем подробности позже».

Поскольку разработчики и группы безопасности продолжают устранять уязвимость и возвращать потерянные средства, пользователям настоятельно рекомендуется отозвать разрешения для всех контрактов SushiSwap для защиты своих активов.

Инцидент подчеркивает важность постоянной бдительности и мер безопасности в экосистеме DeFi, поскольку растущий сектор остается уязвимым для эксплойтов и атак, направленных на неправильную настройку учетных записей.

На момент публикации токен Sushi упал на 4,9% за день, торгуясь около 1,08 доллара.