Через вразливість у SushiSwap викрадено щонайменше $3,3 млн

Команда децентралізованої платформи SushiSwap повідомила про виявлення вразливості в смартконтракті. Зловмисники скористалися експлойтом для атаки.

Sushi's RouteProcessor2 contract has an approval bug; please revoke approval ASAP. We're working with security teams to mitigate the issue. https://t.co/WhXJfa5xD4

— Jared Grey (@jaredgrey) April 9, 2023

“У контракті RouteProcessor2 виявили помилку, повʼязану з затвердженням. Негайно відкличте схвалення”, — написав голова SushiSwap Джаред Грей.

Згідно з даними PeckShield, через атаку зловмисники змогли вивести у щонайменше одного користувача 1800 ETH (~$3,3 млн на момент написання) . 

It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.

If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!

One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q

— PeckShield Inc. (@peckshield) April 9, 2023

У DeFi Llama зазначили, що вразливість загрожує лише тим адресам, які користувалися платформою за останні чотири дні. Команда проєкту також опублікувала список контрактів у всіх мережах, які слід відкликати, і створила інструмент для перевірки, чи мала атака вплив на певну адресу.

here's the list of contracts on each chain to be revoked https://t.co/e6tZCAkFFa

— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023

Нагадаємо, нещодавно компанія Sushiswap та її глава отримали повістки до суду від Комісії із цінних паперів та бірж США.