Neovesting.com
  • Рыночная Капитализация: $2,752.78 B
  • Объем за 24Ч: $124.31 B
  • Доминирование BTC: 43.37%

SushiSwap опровергает сообщения об ошибке на миллиард долларов

SushiSwap опровергает сообщения об ошибке на миллиард долларов
SushiSwap опровергает сообщения об ошибке на миллиард долларов

Заявления самопровозглашенного хакера-белоленточника о серьезном риске безопасности для поставщиков ликвидности SushiSwap были отвергнуты одним из разработчиков биржи.

Разработчик популярной децентрализованной биржи SushiSwap опроверг информацию о предполагаемой уязвимости, о которой сообщил хакер в белой шляпе, изучающий смарт-контракты биржи.

По сообщениям СМИ, хакер утверждает, что обнаружил уязвимость, которая может поставить под угрозу средства пользователей на сумму более 1 миллиарда долларов. Он заявил, что обнародовал эту информацию после того, как попытки связаться с разработчиками SushiSwap привели к бездействию.

Хакер утверждает, что обнаружил “уязвимость в функции emergencyWithdraw в двух контрактах SushiSwap, MasterChefV2 и MiniChefV2” – контрактах, которые управляют фермами 2x вознаграждения биржи и пулами на не-Ethereum-разработках SushiSwap, таких как Polygon, Binance Smart Chain и Avalanche.

Хотя функция emergencyWithdraw позволяет поставщикам ликвидности немедленно потребовать свои токены LP, потеряв при этом вознаграждение в случае чрезвычайной ситуации, хакер утверждает, что функция не сработает, если в пуле SushiSwap нет вознаграждения, что вынуждает поставщиков ликвидности ждать, пока пул будет пополнен вручную в течение примерно 10 часов, прежде чем они смогут вывести свои токены.

“Это может занять около 10 часов, пока все держатели подписей дадут согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений пустеют несколько раз в месяц”, – утверждает хакер, добавляя:

Развертывания SushiSwap без использования Ethereum и 2x вознаграждения (все с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) имеют общую стоимость более $1 млрд. Это означает, что эта стоимость по сути неприкосновенна в течение 10 часов несколько раз в месяц.

Однако псевдонимный разработчик SushiSwap обратился в Twitter, чтобы опровергнуть эти заявления. “Теневой суперкодер” платформы Мудит Гупта подчеркнул, что описанная угроза “не является уязвимостью” и что “никакие средства не подвергаются риску”.

Гупта пояснил, что “любой” может пополнить пул вознаграждений в случае чрезвычайной ситуации, минуя 10-часовой процесс мультисигнализации, который, по утверждению хакера, необходим для пополнения пула вознаграждений. Они добавили:

Утверждение хакера о том, что кто-то может добавить много LP, чтобы быстрее слить награду, неверно. Награда за LP уменьшается, если вы добавляете больше LP.

Хакеры заявили, что после того, как они впервые обратились к бирже, им было приказано сообщить об уязвимости на платформе “bug bounty” Immunefi, где SushiSwap предлагает вознаграждение до $40 000 пользователям, сообщившим о рискованных уязвимостях в своем коде.

Они отметили, что проблема была закрыта на Immunefi без выплаты компенсации, при этом SushiSwap заявила, что была в курсе описанного вопроса.

Оригинал

Комментировать

Подписывайтесь на нас

Мы стараемся быть ближе к нашим читателям