BCGAME - Bônus diário grátis de 5BTC!A exchange DEX SushiSwap foi vítima de um ataque de exploit que levou à perda de mais de US$ 3,3 milhões de pelo menos um usuário.
O ataque envolveu um bug relacionado à aprovação no contrato RouterProcessor2, recomendado pela PeckShield e SushiSwap Head Chef Jared Gray para ser revogado em todas as cadeias.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
A causa raiz do problema, segundo a Ancilia, Inc., está na função swap() interna, que chama swapUniV3() para definir a variável “lastCalledPool” no slot de armazenamento 0x00. Na função swap3callback, a verificação de permissão é ignorada, o que permitiu que o invasor “yoinkasse” os tokens do usuário.
Poucos usuários do SushiSwap foram afetados, segundo o DeFi Llama, que afirmou que apenas aqueles que trocaram na exchange nos últimos quatro dias devem ser afetados. A lista de contratos em todas as cadeias que devem ser revogados foi publicada e uma ferramenta foi construída para verificar se algum endereço foi afetado.
Até agora, 190 endereços Ethereum aprovaram o contrato problemático. No entanto, mais de 2.000 endereços no Layer 2 Arbitrum aparentemente aprovaram o contrato ruim. O preço do token de governança do Sushi caiu apenas 0,6% desde a divulgação da notícia.
Jared Gray, que está buscando um fundo de defesa legal de $3 milhões do Sushi DAO depois que a exchange foi atingida por uma intimação da Comissão de Valores Mobiliários dos EUA, twittou que a equipe de segurança do Sushi está trabalhando para mitigar o problema:
Confirmamos a recuperação de mais de 300 ETH dos fundos roubados de CoffeeBabe de Sifu. Estamos em contato com a equipe do Lido a respeito de mais 700 ETH.
We've confirmed recovery of more than 300ETH from CoffeeBabe of Sifu's stolen funds. We're in contact with Lido's team regarding 700 more ETH.
— Jared Grey (@jaredgrey) April 9, 2023
