Mehreren Berichten zufolge hat ein Fehler, der in das Protokoll des dezentralisierten Austauschs (Dex) von Sushiswap eingeführt wurde, zu Verlusten von mehr als 3 Millionen US-Dollar geführt. Die Blockchain- und Smart-Contract-Sicherheitsfirma Peckshield erklärte, dass der ausgenutzte Vertrag „in mehreren Blockchains eingesetzt“ wurde.
Die Dex-Plattform Sushiswap leidet unter Smart Contract Exploit
Am Wochenende sah die Dex-Plattform Sushiswap, wie ihr RouteProcess02-Vertrag ausgenutzt und dann über verschiedene Blockchain-Netzwerke verteilt wurde. Blockchain-Sicherheitsfirma Certik veröffentlicht eine Warnung, nachdem der Exploit entdeckt wurde. Die Firma Peckshield auch Aktualisiert die Krypto-Community über Twitter und stellte fest, dass der „RouterProcessor2-Vertrag von Sushiswap einen Fehler im Zusammenhang mit der Genehmigung aufweist“. Es wurde auch berichtet, dass das Opfer ein bekannter Krypto-Befürworter war Sifuder Berichten zufolge 1.800 Ethereum verlor.
Sifu war möglicherweise nicht das einzige Opfer, da die Warnung von Certik erwähnt, dass einige USDC-Benutzer betroffen sein könnten. „Wir haben verdächtige Aktivitäten auf entdeckt [0x15d]bei dem es sich um einen bösartigen Router handelt“, Certik getwittert. „Widerrufen Sie Berechtigungen, wenn Sie diesem Router genehmigt haben, Ihre Token auszugeben. Pass auf dich auf. Mehrere Benutzer, die den böswilligen Vertrag genehmigt hatten, haben gesehen, dass ihr USDC übertragen wurde [0x29e]. Die Brieftasche hat in den letzten zwei Stunden etwa 20.000 Dollar gekostet“, so das Unternehmen hinzugefügt.
Ein Entwickler namens 0xngmi hat detailliert erklärt, dass der Exploit nur für diejenigen problematisch sein sollte, die Sushiswap in den letzten vier Tagen verwendet haben. „Nur Benutzer, die vom Sushiswap-Hack betroffen sind, sollten diejenigen sein, die in den letzten 4 Tagen auf Sushiswap getauscht haben. Wenn Sie dies getan haben, machen Sie die Genehmigungen so schnell wie möglich rückgängig oder verschieben Sie Ihr Geld in der betroffenen Brieftasche in eine neue Brieftasche“, twitterte 0xngmi. Sushiswap-Chefkoch Jared Gray auch bestätigt der Exploit und später detailliert dass „Wiederherstellungsbemühungen im Gange waren“.
„Wir haben einen großen Teil der betroffenen Gelder in einem White-Hat-Sicherheitsprozess gesichert. Wenn Sie eine Whitehat-Wiederherstellung durchgeführt haben, wenden Sie sich für die nächsten Schritte bitte an security@sushi.com“, sagt Gray genannt um 9:42 Uhr Eastern Time am 9. April. „Wir haben die Wiedererlangung von mehr als 300 ETH von Coffeebabe of Sifus gestohlenen Geldern bestätigt. Wir sind in Kontakt mit Lidos Team bezüglich 700 weiterer ETH“, sagt Gray hinzugefügt. Der CTO von Sushiswap, Matthew Lilley, folgte später am Tag und genannt dass es derzeit keine Probleme mit der Nutzung der Sushiswap-Dex-Plattform gibt.
„Es besteht derzeit kein Risiko bei der Verwendung des Sushi-Protokolls und der Benutzeroberfläche. Jegliche Exposition gegenüber RouterProcessor2 wurde vom Frontend entfernt, und alle LPing-/Strom-Swap-Aktivitäten können sicher durchgeführt werden“, erklärte der CTO von Sushiswap. „Wir bitten alle Benutzer, ihre Genehmigungen noch einmal zu überprüfen, und wenn eine Adresse in dieser Liste unten eine Erlaubnis für eines Ihrer Token hat, bitten wir Sie, die Genehmigung so schnell wie möglich abzulehnen“, sagte Lilley hinzugefügt. Erst kürzlich teilte Grey der Community mit, dass das Sushiswap-Team eine Vorladung von der US Securities and Exchange Commission (SEC) erhalten habe.
Was kann Ihrer Meinung nach getan werden, um Smart Contract Bugs in Zukunft zu verhindern? Teilen Sie Ihre Gedanken in den Kommentaren unten mit.
Bildnachweis: Shutterstock, Pixabay, WikiCommons
(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) return;
js = d.createElement(s); js.id = id;
js.src=”
fjs.parentNode.insertBefore(js, fjs);
}(document, ‘script’, ‘facebook-jssdk’));
