SushiSwap piraté, le chef cuisinier dit "révoquer toutes les chaînes"
L’échange décentralisé SushiSwap a été victime d’un exploit, qui a entraîné la perte de plus de 3,3 millions de dollars d’au moins un utilisateur, connu sous le nom de 0xSifu sur Twitter.
L’exploit implique un bogue lié à l’approbation sur le contrat RouterProcessor2 – que PeckShield et le chef cuisinier de SushiSwap, Jared Gray, recommandent de révoquer sur toutes les chaînes.
La cause première, selon Ancilia, Inc. et en termes techniques, « est que dans la fonction interne swap(), elle appellera swapUniV3() pour définir la variable « lastCalledPool » qui se trouve à l’emplacement de stockage 0x00″.
Le compte de cybersécurité ajoute que « plus tard dans la fonction swap3callback, la vérification des autorisations est contournée ».
Yoink, ou notyoink?
En d’autres termes, en approuvant le mauvais contrat, les utilisateurs permettent sans le savoir à l’exploiteur de voler leurs jetons – ou « yoink », dans ce cas.
« La fonction » yoink « a été utilisée par le premier attaquant, ce qui est dû au fait que le vecteur d’attaque était un bogue dans le mécanisme » d’approbation « du contrat de routeur SushiSwap », explique Brad Kay, analyste de The Block Research.
« Le bogue permet à une entité non autorisée de « jouer » essentiellement des jetons sans l’approbation appropriée du propriétaire du jeton », explique Kay, ajoutant: « Après la première attaque pour 100 ETH – peut-être un chapeau blanc – il semble qu’un autre pirate soit arrivé et a volé un autre ETH de 1800 environ en utilisant le même contrat, mais a plutôt nommé leur fonction « notyoink ».
Combien d’utilisateurs de SushiSwap sont concernés ?
Les premiers rapports affirment que peu d’utilisateurs de SushiSwap sont actuellement à risque.
Ils ont également publié une liste de contrats dans toutes les chaînes qui doivent être révoqués et ont créé un outil pour vérifier si l’une de vos adresses a été affectée.
L’analyste Block Research Kevin Peng explique que, jusqu’à présent, 190 adresses Ethereum ont approuvé le contrat problématique. Cependant, plus de 2000 adresses sur Layer 2 Arbitrum ont apparemment approuvé le mauvais contrat.
Le prix du jeton de gouvernance de Sushi n’a baissé que de 0,6 % dans l’heure qui a suivi l’annonce de la nouvelle.
Gray – qui cherche également un fonds de défense juridique de 3 millions de dollars auprès de Sushi DAO après que Sushi a été frappé d’une assignation à comparaître de la Securities and Exchange Commission des États-Unis – a tweeté que Sushi « travaillait avec des équipes de sécurité pour atténuer le problème ».
Mis à jour pour fournir plus de contexte et d’explications. Cette histoire se développe et sera continuellement mise à jour avec de nouvelles informations.
Il n’est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.
