Chỉ những người dùng đã giao dịch trên sàn giao dịch phi tập trung trong bốn ngày qua mới bị ảnh hưởng.
Một lỗi trên hợp đồng thông minh trên giao thức tài chính phi tập trung (DeFi) SushiSwap đã dẫn đến khoản lỗ hơn 3 triệu đô la vào đầu giờ ngày 9 tháng 4, theo một số báo cáo bảo mật trên Twitter.
Các công ty bảo mật chuỗi khối Certik Alert và Peckshield đã đăng tải về một hoạt động bất thường liên quan đến chức năng phê duyệt trong hợp đồng Bộ xử lý Bộ định tuyến 2 của Sushi — một hợp đồng thông minh tổng hợp thanh khoản giao dịch từ nhiều nguồn và xác định mức giá thuận lợi nhất để hoán đổi tiền xu. Trong vòng vài giờ, lỗi này đã dẫn đến khoản lỗ 3,3 triệu USD.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
Theo nhà phát triển 0xngmi có biệt danh là DefiLlama, vụ hack chỉ ảnh hưởng đến những người dùng đã hoán đổi giao thức trong bốn ngày qua.
Nhà phát triển chính của Sushi, Jared Gray kêu gọi người dùng thu hồi quyền đối với tất cả các hợp đồng trên giao thức. “Hợp đồng RouteProcessor2 của Sushi có lỗi phê duyệt; vui lòng thu hồi phê duyệt càng sớm càng tốt. Chúng tôi đang làm việc với các nhóm bảo mật để giảm thiểu sự cố”, ông lưu ý. Một danh sách các hợp đồng trên GitHub với các chuỗi khối khác nhau yêu cầu thu hồi đã được tạo để giải quyết vấn đề.
We’ve secured a large portion of affected funds in a whitehat security process. If you have performed a whitehat recovery please contact security@sushi.com for next steps.
— Jared Grey (@jaredgrey) April 9, 2023
Vài giờ sau khi vụ việc xảy ra, Gray đã lên Twitter để thông báo rằng “một phần lớn số tiền bị ảnh hưởng” đã được phục hồi thông qua quy trình bảo mật mũ trắng. “Chúng tôi đã xác nhận việc thu hồi hơn 300 ETH từ số tiền bị đánh cắp của CoffeeBabe of Sifu. Chúng tôi đang liên hệ với nhóm của Lido về 700 ETH nữa.”
Cộng đồng Sushi đã có một ngày cuối tuần căng thẳng. Vào ngày 8 tháng 4, Gray và luật sư của anh ấy đã đưa ra nhận xét về trát đòi hầu tòa gần đây của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC).
“Cuộc điều tra của SEC là một cuộc điều tra tìm hiểu thực tế, không công khai nhằm cố gắng xác định xem có bất kỳ vi phạm nào đối với luật chứng khoán liên bang hay không. Theo hiểu biết tốt nhất của chúng tôi, SEC đã không (kể từ khi viết bài này) đưa ra bất kỳ kết luận nào bất kỳ ai liên kết với Sushi đã vi phạm luật chứng khoán liên bang của Hoa Kỳ,” ông tuyên bố.
Gray tuyên bố sẽ hợp tác với cuộc điều tra. Một quỹ bảo vệ pháp lý để đáp lại trát đòi hầu tòa đã được đề xuất trên diễn đàn quản trị của Sushi vào ngày 21 tháng 3.