Белый хакер сообщил, что обнаружил на платформе SushiSwap уязвимость, которая может поставить под угрозу средства пользователей на сумму более одного миллиарда долларов.
Хакер утверждает, что уязвимость заключается в функции экстренного вывода средств в двух контрактах SushiSwap — MasterChefV2 и MiniChefV2. Эти контракты регулируют доходные фермы и пулы, которые работают с такими сетями, как Polygon, Binance Smart Chain и Avalanche.
Thread on #Sushiswap Vulnerability
1/ A vulnerability with SushiSwap's emergencyWithdraw function means users cannot stake, harvest or withdraw LP tokens from affected pools when the pool runs out of rewards. https://t.co/s9bHpciENR
— Wilfred Michael (@CryptoWilfred) September 22, 2021
В случае возникновения чрезвычайной ситуации, функция EmergencyWithdraw позволяет поставщикам ликвидности немедленно вывести свои токены, теряя при этом вознаграждение. Но хакер утверждает, что эта функция не сработает, если в пуле SushiSwap не будет никаких вознаграждай. В этом случае поставщикам ликвидности придется ждать примерно 10 часов, пока пул не будет пополнен вручную. Он отмечает, что некоторые пулы вознаграждений опустошаются несколько раз в месяц, поэтому проблема вполне актуальна.
«Развертывания SushiSwap (с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) имеют общую стоимость более 1 миллиарда долларов. Это означает, что несколько раз в месяц в течение 10 часов эта сумма совершенно недоступна», — сказал Уилфред Майкл от имени хакера.
Он пояснил, что хакер решил обнародовать эту информацию из-за того, что попытки связаться с разработчиками SushiSwap оказались безуспешными. Хакер впервые сообщил об уязвимости на платформе выявления ошибок Immunefi, где SushiSwap предлагает выплатить вознаграждение в размере до $40000 тем, кто найдет в коде биржи ошибки. Но его сообщение было закрыто без компенсации, так как разработчики SushiSwap заявили, что им уже известно об описанной проблеме.
Один из разработчиков SushiSwap Мудит Гупта пояснил, что описанный хакером процесс «не является уязвимостью», и что «никакие средства не подвергаются риску». Гупта сказал, что в случае чрезвычайной ситуации «любой» может пополнить пул вознаграждения, минуя при этом большую часть 10-часового процесса прохождения мультиподписей.
«Утверждение хакера о том, что кто-то может добавить много токенов ликвидности, чтобы быстрее слить компенсацию, неверно. Если добавлять больше токенов, то награда за поставку ликвидности уменьшается», — сказал Гупта.
This is not a vulnerability. No funds at risk. If rewarder runs out of rewards, withdrawing LP will fail but anyone (not just sushi) can top up the rewarder in an emergency.
Sushi can also just remove the rewarder.
— Mudit Gupta (@Mudit__Gupta) September 23, 2021
Независимые эксперты еще не высказали свое мнение, поэтому на момент написания есть только версии обеих сторон.