Заявления самопровозглашенного хакера-белоленточника о серьезном риске безопасности для поставщиков ликвидности SushiSwap были отвергнуты одним из разработчиков биржи.
Разработчик популярной децентрализованной биржи SushiSwap опроверг информацию о предполагаемой уязвимости, о которой сообщил хакер в белой шляпе, изучающий смарт-контракты биржи.
По сообщениям СМИ, хакер утверждает, что обнаружил уязвимость, которая может поставить под угрозу средства пользователей на сумму более 1 миллиарда долларов. Он заявил, что обнародовал эту информацию после того, как попытки связаться с разработчиками SushiSwap привели к бездействию.
Хакер утверждает, что обнаружил «уязвимость в функции emergencyWithdraw в двух контрактах SushiSwap, MasterChefV2 и MiniChefV2» — контрактах, которые управляют фермами 2x вознаграждения биржи и пулами на не-Ethereum-разработках SushiSwap, таких как Polygon, Binance Smart Chain и Avalanche.
Хотя функция emergencyWithdraw позволяет поставщикам ликвидности немедленно потребовать свои токены LP, потеряв при этом вознаграждение в случае чрезвычайной ситуации, хакер утверждает, что функция не сработает, если в пуле SushiSwap нет вознаграждения, что вынуждает поставщиков ликвидности ждать, пока пул будет пополнен вручную в течение примерно 10 часов, прежде чем они смогут вывести свои токены.
«Это может занять около 10 часов, пока все держатели подписей дадут согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений пустеют несколько раз в месяц», — утверждает хакер, добавляя:
Развертывания SushiSwap без использования Ethereum и 2x вознаграждения (все с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) имеют общую стоимость более $1 млрд. Это означает, что эта стоимость по сути неприкосновенна в течение 10 часов несколько раз в месяц.
Однако псевдонимный разработчик SushiSwap обратился в Twitter, чтобы опровергнуть эти заявления. «Теневой суперкодер» платформы Мудит Гупта подчеркнул, что описанная угроза «не является уязвимостью» и что «никакие средства не подвергаются риску».
Гупта пояснил, что «любой» может пополнить пул вознаграждений в случае чрезвычайной ситуации, минуя 10-часовой процесс мультисигнализации, который, по утверждению хакера, необходим для пополнения пула вознаграждений. Они добавили:
Утверждение хакера о том, что кто-то может добавить много LP, чтобы быстрее слить награду, неверно. Награда за LP уменьшается, если вы добавляете больше LP.
Хакеры заявили, что после того, как они впервые обратились к бирже, им было приказано сообщить об уязвимости на платформе «bug bounty» Immunefi, где SushiSwap предлагает вознаграждение до $40 000 пользователям, сообщившим о рискованных уязвимостях в своем коде.
Они отметили, что проблема была закрыта на Immunefi без выплаты компенсации, при этом SushiSwap заявила, что была в курсе описанного вопроса.
Marcus Aurelius
Комментировать