Tin nóng ⇢

SushiSwap phủ nhận cáo buộc về lỗi trị giá tỷ USD

Một hacker mũ trắng đã tuyên bố về một rủi ro bảo mật lớn mà các nhà các nhà cung cấp thanh khoản có thể gặp phải trên SushiSwap. Tuy nhiên, tuyên bố này đã bị một trong những nhà phát triển của sàn giao dịch phủ nhận.

Nhà phát triển sàn giao dịch phi tập trung nổi tiếng SushiSwap đã phủ nhận thông tin một lỗ hổng bảo mật bị phát hiện bởi một hacker mũ trắng đang rình mò các hợp đồng thông minh của họ.

Theo báo cáo của các phương tiện truyền thông, tin tặc tuyên bố đã xác định được một lỗ hổng có thể khiến số tiền trị giá hơn 1 tỷ USD của người dùng  bị đe dọa. Hacker đã công khai thông tin sau khi nỗ lực liên hệ với các nhà phát triển của SushiSwap không thành.

Tin tặc tuyên bố đã xác định được “lỗ hổng trong chức năng Rút tiền khẩn cấp trong hai hợp đồng MasterChefV2 và MiniChefV2 của SushiSwap” – các hợp đồng chi phối các farm phần thưởng nhân đôi của sàn giao dịch và các pool trên các khai triển không phải Ethereum của SushiSwap như Polygon, Binance Smart Chain và Avalanche .

Mặc dù chức năng Rút tiền khẩn cấp cho phép các nhà cung cấp thanh khoản ngay lập tức các LP tokens của họ và chấp nhận mất phần thưởng trong trường hợp khẩn cấp, nhưng hacker tuyên bố tính năng này sẽ thất bại nếu không có phần thưởng nào được giữ trong SushiSwap. Có nghĩa là các nhà cung cấp thanh khoản phải đợi pool được được nạp lại theo cách thủ công trong khoảng 10 giờ trước khi họ có thể rút Token của mình.

/upload/image/users/user_42/image/230901_2.jpg

“Có thể mất khoảng 10 giờ để tất cả những người có chữ ký đồng ý nạp tiền vào tài khoản phần thưởng và một số phần thưởng trống nhiều lần trong tháng”  hacker nói thêm:

“Khai triển không Ethereum của SushiSwap và 2 lần phần thưởng (tất cả đều sử dụng các hợp đồng MiniChefV2 và MasterChefV2 dễ bị tấn công) có tổng giá trị hơn 1 tỷ USD. Giá trị này về cơ bản không thể chạm tới trong 10 giờ nhiều lần trong tháng ”.

Tuy nhiên, nhà phát triển của SushiSwap đã lên Twitter để bác bỏ các tuyên bố rằng mối đe dọa được nhắc đến ” không phải là một lỗ hổng “và” không có quỹ nào gặp nguy hiểm. “

Mudit Gupta đã làm rõ rằng “bất kỳ ai” cũng có thể nạp tiền vào phần thưởng của pool trong trường hợp khẩn cấp, việc bỏ qua phần lớn quy trình multi-sig kéo dài 10 giờ mà tin tặc nhắc đến là cần thiết để bổ sung phần thưởng. Họ nói thêm:

“Tuyên bố của hacker rằng ai đó có thể đặt nhiều lp để rút phần thưởng nhanh hơn là không chính xác. Phần thưởng cho mỗi LP sẽ giảm xuống nếu bạn thêm nhiều LP hơn.”

Tin tặc cho biết họ đã được hướng dẫn báo cáo lỗ hổng trên nền tảng tiền thưởng Immunefi – nơi SushiSwap đang đề nghị trả phần thưởng lên tới 40.000 USD cho những người dùng báo cáo lỗ hổng rủi ro trong mã của họ – sau khi họ liên hệ với sàn giao dịch lần đầu.

Họ lưu ý rằng vấn đề đã được xử lý trên Immunefi mà không được bồi thường, và phía SushiSwap cho biết họ đã biết về vấn đề được đề cập.

 

Có thể bạn quan tâm