SushiSwap Exchange遭受价值330万美元的智能合同黑客攻击,以下是所发生的情况
来源:AdobeStock/Sergey nivenpopular分散式交易所(DEX)平台SushiSwap在黑客利用智能合约中的一个漏洞后,遭受了超过330万美元的损失。
更具体地说,DEX看到了它的RouteProcess02合约,这是一个智能合约,它聚合了来自多个来源的贸易流动性,并确定了交换硬币的最有利价格,该合约被开发,然后分布在各个区块链网络中。
“根本原因是因为在内部swap()函数中,它将调用swapUniV3()来设置变量“lastCalledPool”,该变量位于存储槽0x00,”加密安全公司Ancilia在一条推文中说。”后来在swap3callback函数中,权限检查被绕过了.”
DefiLlama的匿名开发者0xngmi表示,只有在过去四天内交换了协议的用户才会受到黑客攻击的影响。
只有那些在过去4天内交换过Sushiswap的用户才会受到Sushiswap攻击的影响。如果您这样做了,请尽快恢复批准或将受影响的钱包中的资金转移到新的钱包,0xngmitweeted。
到目前为止,至少有一名用户成为黑客攻击的受害者。据报道,受害者是一位名叫Sifu的知名加密倡导者,他损失了1,800 ETH(价值约330万美元)。
与此同时,Sushi的首席开发人员Jared Grey敦促用户撤销协议上所有合同的权限,他说,“Sushi的RouteProcessor2合同有一个批准漏洞;请尽快撤销批准。
他还在GitHub上创建了一个不同区块链的合同列表,要求撤销以解决这个问题。值得注意的是,易受攻击的契约也部署在Polygon上,这是一个流行的以太坊第二层解决方案。
SushiSwap追回“大部分”被盗资金SushiSwap团队在区块链安全公司HYDN的帮助下,通过白帽安全流程成功追回了很大一部分被盗资金。
在白厅的安全程序中,我们已经保护了大部分受影响的资金。如果您已经执行了whitehat恢复,请联系[emailprotected ]以了解后续步骤,grey在美国东部时间4月9日上午9:42表示。
我们已经确认从Sifus被盗资金的Coffeebabe处追回了300多ETH。我们正与利多斯团队就700多个ETH进行联系。”
Sushiswaps首席技术官Matthew Lilley在当天晚些时候跟进,并表示目前使用Sushiswap dex平台没有问题。“所有对RouterProcessor2的暴露已经从前端移除,并且所有LPing / current交换活动都可以安全地进行,”他补充道。
在最近的黑客攻击发生之前,美国证券交易委员会(sec)已向Sushi DAO和Grey发出传票,监管机构对DEX的审查越来越严格。
3月21日,该组织宣布传票的形式提交给寿司道为建立一个法律辩护基金,以支付潜在的法律费用。
上周末,格雷发布了一份关于传票的官方声明,声称“证交会的调查是一项非公开的事实调查,试图确定是否存在违反联邦证券法的行为。”
“据我们所知,SEC尚未(在撰写本文时)得出任何与Sushi有关联的人违反了美国联邦证券法的结论。”
美国东部时间2023年4月10日凌晨1点29分