صرافی غیرمتمرکز Sushiswap قربانی یک آسیب پذیری امنیتی شد که منجر به از دست دادن 3.3 میلیون دلار سرمایه از یکی از کاربران آن، 0xSifu شد.
به گفته کوین اکسو و به نقل از TheBlock، این آسیب پذیری مربوط به یک خطا در مرحله تایید قرارداد RouterProcessor2 در این تبادل است. قراردادی که مدیر سوشی – جرد گری – توصیه کرده است که دسترسی به آن در اسرع وقت در تمام شبکه ها قطع شود.
علت این آسیب پذیری در تابع داخلی ()swap نهفته است. هنگام فراخوانی تابع swapUniV3() برای درج متغیر lastCalledPool، این تابع تایید کاربر را نادیده می گیرد و آن را دور می زند. این موضوع به یک فرد تایید نشده اجازه می دهد تا توکن را بدون تایید مالک منتقل کند.
اولین حمله به صرافی SushiSwap که طی آن 100 اتریوم به سرقت رفت، به نظر می رسد یک حمله کلاه سفید باشد. اما سپس یک هکر دیگر وارد عمل شد و حدود 1800 اتریوم را از همان قرارداد هوشمند به سرقت برد.
گزارش های اولیه نشان می دهد که مصرف کنندگان سوشی زیادی در معرض خطر نیستند. فردی با نام مستعار 0xngmi که یکی از توسعه دهندگان ارشد پلتفرم DiFi Lama است، ادعا می کند که تنها کاربرانی که در چهار روز گذشته در سوشی سوآپ معامله کرده اند در معرض خطر هستند. همچنین لیستی از قراردادهای هوشمند در این پلتفرم بر روی بلاک چین های مختلف منتشر شده است و کاربران باید در اسرع وقت دسترسی خود را به توکن های خود لغو کنند. همچنین ابزاری برای آزمایش اینکه آیا کیف پول شما در معرض خطر است یا خیر ساخته شده است.
کوین پنگ، تحلیلگر Dblock می گوید که تاکنون 190 آدرس در شبکه اتریوم این قرارداد هوشمند مشکل ساز را تایید کرده اند. از سوی دیگر بیش از 2000 آدرس در شبکه لایه دوم آربیتروم قرارداد مذکور را تایید کرده اند.
قیمت سوشی (SUSHI) در اولین ساعت پس از انتشار این خبر 0.6 درصد کاهش یافت.
