Bug pada kontrak pintar pada protokol keuangan terdesentralisasi (DeFi) SushiSwap menyebabkan kerugian lebih dari $3 juta pada dini hari tanggal 9 April, menurut beberapa laporan keamanan di Twitter.
Perusahaan keamanan Blockchain Certik Alert dan Peckshield telah menerbitkan aktivitas yang tidak biasa terkait dengan fitur pengesahan dalam kontrak Prosesor Router 2 Sushi, sebuah kontrak pintar yang mengumpulkan likuiditas perdagangan dari berbagai sumber dan mengidentifikasi harga yang paling menguntungkan untuk menukar koin. Dalam beberapa jam, bug tersebut mengakibatkan kerugian $3,3 juta.
Sepertinya @SushiTukar Hubungi RouterProcessor2 memiliki bug persetujuan, menyebabkan hilangnya >$3,3 juta (sekitar 1800 eth) dari @0xSifu.
Jika Anda disetujui https://t.co/E1YvC6VZsPmohon *Dicabut* secepatnya!
Contoh tx hack: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) 9 April 2023
Kedua Menurut pengembang nama samaran DefiLlama 0xngmi, peretasan seharusnya hanya memengaruhi pengguna yang telah bertukar ke protokol dalam empat hari terakhir.
Pengembang utama Sushi Jared Gray telah mendesak pengguna untuk mencabut izin untuk semua kontrak pada protokol. “Kontrak RouteProcessor2 Sushi memiliki bug persetujuan; harap cabut persetujuannya sesegera mungkin. Kami bekerja sama dengan tim keamanan untuk mengurangi masalah ini,” katanya. KE daftar kontrak di GitHub dengan blockchain berbeda yang membutuhkan pencabutan dibuat untuk mengatasi masalah tersebut.
Kami telah mengkonfirmasi pemulihan lebih dari 300ETH dari dana CoffeeBabe yang dicuri Sifu. Kami berhubungan dengan tim Lido untuk 700 ETH lagi.
— Jared Grey (@jaredgrey) 9 April 2023
Beberapa jam setelah kejadian, Gray mengumumkan di Twitter bahwa “sebagian besar dana yang terkena dampak” telah dipulihkan melalui proses keamanan whitehat. “Kami telah mengonfirmasi pemulihan lebih dari 300 ETH dari dana CoffeeBabe yang dicuri Sifu. Kami menghubungi tim Lido untuk 700 ETH lainnya.”
Komunitas Sushi mengalami akhir pekan yang sibuk. Pada 8 April, Gray dan pengacaranya komentar yang disediakan pada panggilan pengadilan Komisi Sekuritas dan Bursa AS (SEC) baru-baru ini.
“Investigasi SEC adalah investigasi pencarian fakta non-publik yang berusaha untuk menentukan apakah telah terjadi pelanggaran undang-undang sekuritas federal. Sepengetahuan kami, SEC belum (hingga tulisan ini dibuat) menarik kesimpulan bahwa siapa pun yang berafiliasi dengan Sushi telah melanggar undang-undang sekuritas federal AS,” katanya.
Gray mengatakan dia bekerja sama dalam penyelidikan. Dana pembelaan hukum sebagai tanggapan atas panggilan pengadilan diusulkan pada Sushi Governance Forum pada tanggal 21 Maret.
Majalah: Audit kripto dan hadiah bug tidak berfungsi – inilah cara memperbaikinya