Sushi reembolsará a las víctimas de un fraude de 3,4 millones de dólares

SushiSwap pronto comenzará a devolver fondos a los usuarios después de que un contrato inteligente defectuoso provocara pérdidas de más de 3,4 millones de dólares durante el fin de semana, pero la mayoría de los activos robados siguen sin recuperarse.
El martes, Sushi anunció que pronto estarán disponibles para reclamación aproximadamente 51.000 dólares en activos de usuarios asegurados por hackers de sombrero blanco. Los piratas informáticos de sombrero blanco suelen recibir una recompensa a cambio de asegurar fondos que corren el riesgo de ser malversados ​​mediante la explotación de vulnerabilidades del código.
Si bien los fondos incautados por piratas informáticos hostiles de “sombrero negro” son irrecuperables, Sushi está trabajando en un proceso de reclamación para compensar a los usuarios afectados.
El lunes, el “jefe de cocina” de Sushi, Jared Grey, tuiteó que los usuarios podían volver a comerciar de forma segura en la plataforma e imploró a los usuarios recientes que revocaran las aprobaciones para el contrato explotado de RouteProcessor2.
El incidente pone de relieve la importancia de implementar medidas de seguridad estrictas al realizar transacciones en cadena. Los protocolos probados y de confianza de la comunidad aún pueden ser vulnerables a ataques o enviar código defectuoso.
El domingo, PeckShield, una empresa de seguridad de cadenas de bloques, descubrió la vulnerabilidad. La vulnerabilidad estaba dirigida a los contratos implementados en los diez días anteriores, lo que dejaba a las billeteras que recientemente habían otorgado permiso a Sushi para ejecutar transacciones vulnerables a ataques.
El ataque aprovechó vulnerabilidades en el contrato RouteProcessor2 recientemente implementado por Sushi, que los usuarios debían aprobar previamente antes de operar con tokens ERC-20 en la plataforma. Sin embargo, el contrato autorizó erróneamente a la “dirección del pool” a retirar fondos aprobados para operar por usuarios de Sushi que no estaban al tanto.
Grey afirmó que el exploit sólo afectó a los usuarios que habían negociado activos recientemente en el exchange, enfatizando que los proveedores de liquidez no se vieron afectados.
Trust, un programador de sombrero blanco seudónimo, fue el primero en descubrir la vulnerabilidad. Trust intentó comunicarse con el equipo de Sushi para informarle sobre la misma. Después de no recibir noticias de Sushi durante varias horas, Trust intentó sacar provecho de la vulnerabilidad sustrayendo 100 ETH de una billetera comprometida en un intento de adelantarse a los actores maliciosos.
PeckShield señaló que una billetera controlada por Sifu’s Vision, un colectivo de inversión administrado por 0xSifu, actual asesor y ex director financiero de Wonderland, fue responsable de la pérdida de 1.800 ETH (3,4 millones de dólares) de los fondos robados. Grey verificó la noticia en Twitter, afirmando que “la gran mayoría de los fondos explotados pertenecían a un solo usuario”.
0xSifu fue expuesto como uno de los cofundadores de la fallida plataforma de intercambio canadiense QuadrigaCX, lo que provocó el colapso de la transacción. Durante el drama, fue expulsado del proyecto, pero fue reintegrado en enero después de obtener el 93% de los votos emitidos en una votación de gobernanza.
Grey informó el domingo que Sushi había recuperado 300 ETH y estaba en conversaciones con Lido, un validador de Ethereum y proveedor de staking líquido, con respecto a la recuperación de 700 ETH adicionales.