L'exploit SushiSwap entraîne une perte de plus de 3 millions de dollars pour les utilisateurs

Échange décentralisé (DEX) SushiSwap est la dernière victime d’un exploit DeFi causant au moins 3,3 millions de dollars de pertes pour un utilisateur.

La société de sécurité Blockchain Peckshield a signalé que l’exploit était causé par un bogue lié à l’approbation dans son contrat RouterProcessor2. Pour éviter les pertes, l’entreprise a recommandé aux utilisateurs de révoquer l’autorisation du contrat.

Peckshield a ajouté que le contrat exploité était déployé sur plusieurs chaînes, dont Ethereum, BSC, Polygon, Fantom, Avalanche, etc.

SushiSwap confirme l’exploitation

Le chef cuisinier de SushiSwap, Jared Gray, a confirmé l’incident et a conseillé aux utilisateurs de révoquer toutes les chaînes. Il a ajouté que le protocole travaillait avec les équipes de sécurité pour atténuer le problème.

On ne sait pas combien de personnes ont été touchées par le piratage. Mais Peckshield a identifié au moins un utilisateur, OxSifu. La personnalité populaire de DeFi a perdu environ 1 800 ETH d’une valeur de 3,3 millions de dollars à cause de l’exploit.

Un hacker chapeau blanc qui a découvert le bogue a initialement pris 100 ETH du portefeuille OxSifu, susceptible de mettre en évidence le bogue. Mais d’autres ont rapidement déployé le contrat et ont commencé à copier l’attaque. D’autres utilisateurs ont également commencé à confirmer qu’ils avaient perdu leurs fonds.

Comment SushiSwap a-t-il été exploité ?

La société de cybersécurité Ancilla a donné une explication technique de ce qui s’est passé. La firme a écrit :

« La cause principale est que dans la fonction interne swap(), elle appellera swapUniV3() pour définir la variable « lastCalledPool » qui se trouve à l’emplacement de stockage 0x00. Plus tard dans la fonction swap3callback, la vérification des autorisations est contournée.

Selon le développeur DeFillama 0xngmi, les utilisateurs susceptibles d’être affectés sont ceux approuvés sur SushiSwap au cours des deux dernières semaines, car le contrat a été déployé sur certaines chaînes jusqu’à 2 semaines. Ainsi, la décision la plus sûre serait de révoquer toutes les approbations.

Certains développeurs ont également construit un outil permettant aux utilisateurs de rechercher leurs adresses et de voir si elles sont impactées.

De plus, l’exploit met en évidence les multiples problèmes de l’écosystème DeFi, même au cours d’une année relativement calme pour les hacks et les exploits. Un utilisateur a capturé la frustration avec un tweet disant: «Honnêtement, prenez simplement mes jetons. C’est épuisant. »

SUSHI Réservoirs 6%

Plus tôt dans la semaine, Gray a souligné que le swap inter-chaînes du DEX (xSwap) connaissait des augmentations de volume significatives.

Selon le rapport, le DAO est en train de mettre en place un fonds de défense juridique pour couvrir les frais juridiques des principaux contributeurs.

/h3>

Toute action que le lecteur entreprend sur les informations trouvées sur notre site Web est strictement à ses risques et périls.