V exkluzivním rozhovoru pro crypto.news se pseudonymní white-hat hacker známý jako Trust podělil o zásadní podrobnosti týkající se nedávného hacku, který využil zranitelnosti ve smlouvě RouteProcessor2.

Společnost Trust byla schopna ušetřit značné množství finančních prostředků uživatelů provedením preventivního hackování prostředků držených Sifu z 10. dubna, aby tyto prostředky vrátila poté, co je přesunula do bezpečí.

Bohužel, zlomyslní aktéři dokázali útok napodobit a zneužít zranitelnosti proti jiným držitelům.

SushiSwap zasažen pokročilým útokem

Společnost Trust vysvětlila, že smlouva RouteProcessor2, která byla nasazena před pouhými čtyřmi dny, je navržena tak, aby dohlížela na různé typy výměn tokenů SushiSwap (SUSHI). Uživatelé předem schválí smlouvu na utracení svých tokenů ERC20 a poté zavolají funkci swap() k provedení swapu.

Smlouva však spolupracuje s fondy UniswapV3 nebezpečným způsobem, protože zcela důvěřuje adrese „poolu“ zadané uživatelem.

Přehlédnutí umožňuje špatnému fondu poskytnout do smlouvy nepravdivé informace o zdroji a částce převodu, což umožňuje kterémukoli uživateli předstírat swap a získat přístup k celé schválené částce jiného uživatele.

Také by se vám mohlo líbit: Zde je návod, jak roboti MEV na SushiSwap způsobili ztrátu 3,3 milionu dolarů

Společnost Trust uvedla, že tato zranitelnost měla být odhalena jakoukoli rozumnou auditorskou firmou, což vyvolalo obavy ohledně vyspělosti produkční kódové základny.

Hacker také zmínil přítomnost vysoce sofistikovaných robotů, kteří replikovali svou transakci šetřící prostředky, aby místo toho ukradli aktiva, a zdůraznil rozsáhlé zdroje a schopnosti těchto robotů, známých jako roboti s extrahovatelnou hodnotou (MEV) těžařů.

Trust se rozhodl provést preventivní hack z několika důvodů.

Za prvé, předložil úplnou zprávu o zranitelnosti hodinu a půl před hackem, ale nedostal žádnou odpověď.

Zadruhé se obával, že vývojový tým nemusí být během víkendu k dispozici.

Za třetí, věděli, že smlouvu nelze opravit a lze ji pouze napadnout nebo odvolat schválení uživatele.

Nakonec upřednostnili uložení jediné adresy, na níž je většina ohrožených prostředků, Sifuova adresa. Trust také nepředpokládal složitost MEV botů v situaci.

Ve světle těchto odhalení je klíčové, aby kryptokomunita přehodnotila bezpečnostní postupy a upřednostnila důkladné audity chytrých kontraktů, aby se zabránilo zneužití těchto zranitelností.

Akce společnosti Trust demonstrují důležitost bílých hackerů v ekosystému, kteří se snaží chránit finanční prostředky uživatelů a zlepšit celkovou bezpečnost.

Mohlo by se vám také líbit: DeFi protokol Euler Finance utrpěl hacknutí za 197 milionů dolarů