Хакерская атака на протокол SushiSwap! Немедленно защитите свои криптовалюты

Сегодня, т.е. 9 апреля 2023 года, стало известно, что популярный DEX SushiSwap стал жертвой хакерской атаки. Исчезает больше криптовалют, и только один из кошельков понес убытки на сумму более 3,3 миллиона долларов. Вектор атаки оказался ошибкой в ​​контракте RouterProcessor2, отвечающем за перенаправление транзакций и управление ликвидностью. Мы рекомендуем всем принять меры для защиты ваших криптовалютных кошельков, даже если вы не использовали протокол SushiSwap.

Ошибка в коде SushiSwap = украденные криптовалюты

В частности, эксплойт был связан с ошибкой в ​​механизме «одобрения» смарт-контракта, который позволяет пользователям давать согласие на использование своих токенов в транзакциях. По предварительным данным, уязвимость позволяла злоумышленнику похитить средства пользователей, взаимодействовавших с SushiSwap за последние четыре дня.. Позднее этот срок был увеличен до двух недель.

На данный момент злоумышленникам удалось украсть 100 ETH (около 330 000 долларов США) в первой серии, а в следующей — целых 1800 ETH (около 5,9 миллиона долларов США). По неподтвержденным данным, первой из краж могла быть так называемая Атака в белой шляпе, на жаргоне кибербезопасности это люди, которые используют уязвимости в системе безопасности, чтобы привлечь внимание к проблеме и защитить только те средства, которые находятся под угрозой.

Команда SushiSwap и эксперты по кибербезопасности быстро обнаружили ошибку в i-коде. рекомендовал пользователям протокола отозвать согласие, выраженное в криптовалютных кошельках на всех строках (также, например, Arbitrum).