Blog Haber

SushiSwap milyar dolarlık hata raporlarını yalanladı

SushiSwap milyar dolarlık hata raporlarını yalanladı
Bu haber 23 Eylül 2021 - 8:24 'de eklendi ve 1 views kez görüntülendi.

Popüler merkezi olmayan borsa SushiSwap’ın arkasındaki geliştirici, akıllı sözleşmelerini gözetleyen beyaz şapkalı bir hacker tarafından bildirilen iddia edilen bir güvenlik açığını reddetti.

Basında çıkan haberlere göre, hacker iddia edilen SushiSwap’ın geliştiricilerine ulaşma girişimlerinin eylemsizlikle sonuçlanmasından sonra bilgileri halka açıkladıklarını belirterek, 1 milyar dolardan fazla kullanıcı fonunu tehditler altına sokabilecek bir güvenlik açığı tespit etti.

Bilgisayar korsanı, “SushiSwap’ın iki sözleşmesinde, MasterChefV2 ve MiniChefV2’de – borsanın 2x ödül çiftliklerini ve SushiSwap’ın Polygon, Binance Smart Chain ve Avalanche gibi Ethereum olmayan dağıtımlarındaki havuzları yöneten sözleşmelerde – acil para çekme işlevinde bir güvenlik açığı tespit ettiğini iddia ediyor. .

Acil Para Çekme işlevi, likidite sağlayıcılarının acil bir durumda ödüllerini kaybederken LP jetonlarını hemen talep etmelerine izin verirken, bilgisayar korsanı, SushiSwap havuzunda herhangi bir ödül tutulmazsa özelliğin başarısız olacağını iddia ederek likidite sağlayıcılarını havuzun dolmasını beklemeye zorlar. tokenlerini geri çekmeden önce yaklaşık 10 saatlik bir süreçte manuel olarak yeniden doldurulur.

Bilgisayar korsanı, “Tüm imza sahiplerinin ödül hesabını yeniden doldurmaya onay vermesi yaklaşık 10 saat sürebilir ve bazı ödül havuzları ayda birkaç kez boştur” diye ekledi:

“SushiSwap’ın Ethereum olmayan dağıtımları ve 2x ödülleri (tümü savunmasız MiniChefV2 ve MasterChefV2 sözleşmelerini kullanarak) toplam 1 milyar doların üzerinde değere sahip. Bu, bu değerin ayda birkaç kez 10 saat boyunca dokunulmaz olduğu anlamına gelir.”

Bununla birlikte, SushiSwap’ın takma adlı geliştiricisi, platformun “Shadowy Super Coder Mudit Gupta, açıklanan tehdidin bir güvenlik açığı olmadığını” ve “hiçbir fonun risk altında olmadığını” vurgulayarak iddiaları reddetmek için Twitter’a gitti.

Gupta açıklığa kavuşturuldu Bilgisayar korsanının ödül havuzunu yenilemek için gerekli olduğunu iddia ettiği 10 saatlik çoklu imza sürecinin çoğunu atlayarak, acil bir durumda “herkesin” havuzun ödüllendiricisini doldurabileceğini söyledi. Eklediler:

Hacker’ın, ödül vereni daha hızlı boşaltmak için birinin çok fazla lp koyabileceği iddiası yanlış. Daha fazla LP eklerseniz LP başına ödül düşer.”

İlgili: SushiSwap’ın jeton fırlatma rampası MISO, 3 milyon dolara hacklendi

Bilgisayar korsanı, SushiSwap’ın kodlarında riskli güvenlik açıkları bildiren kullanıcılara 40.000 dolara kadar ödül vermeyi teklif ettiği bug bounty platformu Immunefi’deki güvenlik açığını, borsaya ilk ulaştıktan sonra bildirmeleri talimatını aldıklarını söyledi.

Immunefi’de konunun tazminatsız kapatıldığını ve SushiSwap’in açıklanan konudan haberdar olduklarını belirttiklerini kaydettiler.