Un bogue sur un contrat intelligent sur le protocole de finance décentralisée (DeFi) SushiSwap a entraîné plus de 3 millions de dollars de pertes aux premières heures du 9 avril, selon plusieurs rapports de sécurité sur Twitter.
Les sociétés de sécurité de la blockchain Certik Alert et Peckshield ont publié un article sur une activité inhabituelle liée à la fonction d’approbation dans le contrat Router Processor 2 de Sushi – un contrat intelligent qui regroupe les liquidités commerciales provenant de plusieurs sources et identifie le prix le plus favorable pour échanger des pièces. En quelques heures, le bogue a entraîné des pertes de 3,3 millions de dollars.
Il semble que le @SushiSwap Le contact RouterProcessor2 a un bogue lié à l’approbation, ce qui entraîne la perte de plus de 3,3 millions de dollars (environ 1800 eth) de @0xSifu.
Si vous avez approuvé https://t.co/E1YvC6VZsPs’il vous plaît * RÉVOQUEZ * DÈS QUE POSSIBLE !
Un exemple de hack tx : https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
– PeckShield Inc. (@peckshield) 9 avril 2023
Selon pour le développeur pseudonyme DefiLlama 0xngmi, le piratage ne devrait affecter que les utilisateurs qui ont échangé le protocole au cours des quatre derniers jours.
Le développeur en chef de Sushi, Jared Gray, a exhorté les utilisateurs à révoquer les autorisations pour tous les contrats sur le protocole. “Le contrat RouteProcessor2 de Sushi a un bogue d’approbation ; veuillez révoquer l’approbation dès que possible. Nous travaillons avec les équipes de sécurité pour atténuer le problème”, a-t-il noté. UN liste des contrats sur GitHub avec différentes blockchains nécessitant une révocation ont été créés pour résoudre le problème.
Nous avons confirmé la récupération de plus de 300ETH des fonds volés de CoffeeBabe of Sifu. Nous sommes en contact avec l’équipe du Lido concernant 700 ETH supplémentaires.
– Jared Gray (@jaredgrey) 9 avril 2023
Quelques heures après l’incident, Gray s’est rendu sur Twitter pour annoncer qu’une “grande partie des fonds concernés” avait été récupérée grâce à un processus de sécurité whitehat. “Nous avons confirmé la récupération de plus de 300 ETH des fonds volés de CoffeeBabe of Sifu. Nous sommes en contact avec l’équipe du Lido concernant 700 ETH supplémentaires.”
La communauté Sushi a vécu un week-end intense. Le 8 avril, Gray et son avocat fourni des commentaires sur la récente citation à comparaître de la Securities and Exchange Commission (SEC) des États-Unis.
“L’enquête de la SEC est une enquête d’enquête non publique visant à déterminer s’il y a eu des violations des lois fédérales sur les valeurs mobilières. À notre connaissance, la SEC n’a pas (au moment de la rédaction de cet article) tiré de conclusions qui toute personne affiliée à Sushi a violé les lois fédérales américaines sur les valeurs mobilières », a-t-il déclaré.
Gray prétend coopérer à l’enquête. Un fonds de défense juridique en réponse à l’assignation a été proposé sur le forum de gouvernance de Sushi le 21 mars.