صرافی غیرمتمرکز SushiSwap قربانی یک سوء استفاده شد که منجر به از دست رفتن بیش از ۳.۳ میلیون دلار (حدود ۱۸۰۰ ETH) از حداقل یک کاربر (که در توییتر به 0xSifu معروف است) شده است. در این پست به هک شدن سوشی سواپ می پردازیم.
هک شدن سوشی سواپ
این اکسپلویت به یک ضعف امنیتی در قرارداد RouterProcessor2 مربوط است. شرکت امنیتی پکشیلد (PeckShield) و یکی از دولوپرهای سوشیسواپ توصیه کردهاند که دسترسیهای اعطا شده از سوی کاربران به این صرافی غیرمتمرکز در تمام زنجیرهها لغو شود.
با این حال دیفای لاما ادعا میکند که فقط کسانی که در چهار روز گذشته در سوشی سواپ مبادلهای انجام دادهاند ممکن است تحت تاثیر قرار بگیرند. آنها همچنین فهرستی از قراردادهایی که دسترسیهای اعطا شده به آنها در تمام زنجیرهها باید لغو شوند منتشر کردهاند و همچنین ابزاری ارائه کردهاند که با کمک آن میتوانید بررسی کنید آیا هر یک از آدرسهای شما تحت تاثیر قرار گرفته است یا خیر.
بررسیهای کوین پنگ (Kevin Peng)، تحلیلگر بلاکچین، نشان دادهاست که تا کنون، ۱۹۰ آدرس اتریوم قرارداد مشکلساز را تایید کردهاند. با این حال، بیش از ۲۰۰۰ آدرس در شبکه آربیتروم این قرارداد مشکلساز را تایید کردهاند.
ظاهرا حمله انجام شده از سوی دو هکر مختلف انجام شده که از باگ موجود در مکانیزم «approve» قرارداد RouterProcessor2 سوءاستفاده کردهاند. ظاهرا این باگ باعث شده است موجودیتهای ثالث بتوانند توکنهای موجود در آدرس را بدون تایید صاحب آن برداشت کنند. هکر اول که احتمالا کلاه سفید است حدود ۱۰۰ اتر برداشت کرده است و هکر دوم که اطلاعی از هویت او در دست نیست حدود ۱۸۰۰ اتر از آدرسی متعلق به 0xSifu به سرقت برده است.
قیمت توکن حاکمیتی سوشی در یک ساعت پس از انتشار این خبر تنها ۰.۶٪ کاهش یافت.
نظرات کاربران