SushiSwap ハッキング: 330 万ドル以上の損失、ヘッドシェフが RouterProcessor2 契約の取り消しを勧告
この記事では以下を取り上げます👇
導入
エクスプロイトの発生経緯
飲むか飲まないか?
影響を受けるユーザーの数はどれくらいですか?
SushiSwap ヘッドシェフ Jared Grey からの返答
まとめ
結論
導入:
分散型取引所 SushiSwap が攻撃を受け、少なくとも 1 人のユーザーが 330 万ドル以上を失いました。この攻撃には RouterProcessor2 契約の承認関連のバグが関係しており、SushiSwap のヘッドシェフ Jared Grey 氏はすべてのチェーンでそのバグを取り消すことを推奨しました。
エクスプロイトの発生経緯:
Ancilia, Inc. によると、根本的な原因は内部 swap() 関数のバグによるものです。この関数は swapUniV3() を呼び出して、ストレージ スロット 0x00 にある変数「lastCalledPool」を設定します。swap3callback 関数の後半で、権限チェックがバイパスされ、不正な契約を知らないうちに承認したユーザーから、権限のないエンティティがトークンを盗むことができます。
飲むか飲まないか?
攻撃ベクトルは、SushiSwap ルーター コントラクトの「承認」メカニズムのバグです。このエクスプロイトにより、権限のないエンティティがトークン所有者からの適切な承認なしにトークンを「yoink」できるようになります。100 ETH の最初の攻撃に続いて、別のハッカーが現れ、同じコントラクトを使用してさらに 1800 ETH 程度を盗みましたが、その関数の名前は「notyoink」でした。
影響を受けるユーザーの数はどれくらいですか?
初期の報告によると、SushiSwap のユーザーの多くは危険にさらされておらず、過去 4 日以内にプラットフォーム上でスワップしたユーザーのみが影響を受けているようです。DeFi Llama の @0xngmi は、取り消すべきすべてのチェーンの契約のリストを公開し、アドレスが影響を受けていないか確認するツールを作成しました。Block Research のアナリストである Kevin Peng は、これまでに 190 の Ethereum アドレスが問題のある契約を承認したことを明らかにしました。ただし、Layer 2 Arbitrum の 2,000 を超えるアドレスが不正な契約を承認したようです。
SushiSwap ヘッドシェフ Jared Grey からの返答:
グレイ氏はツイートで、SushiSwapはセキュリティチームと協力して問題を軽減しようとしていると述べた。また、同プラットフォームが米国証券取引委員会から召喚状を受け取ったことを受けて、同氏はSushi DAOに対し300万ドルの法的防衛資金を求めている。
要点:
分散型取引所はハッキングや悪用の影響を受けないわけではありません。
DeFi プラットフォームで契約を承認するときは常に注意してください。
将来の攻撃を防ぐためには契約を取り消すことが必要です。
結論:
SushiSwap の最近の攻撃は、DeFi プラットフォームを使用する際に必要な予防措置を講じることの重要性を浮き彫りにしています。SushiSwap のヘッドシェフである Jared Grey 氏は、すべてのチェーンで RouterProcessor2 契約を取り消すことを推奨していますが、これは将来同様の攻撃が発生するのを防ぐために不可欠です。サイバー攻撃による資金の損失を防ぐためには、常に警戒を怠らず、安全な取引習慣を身につけることが不可欠です。
こんにちは、CryptoPatelです!
私は暗号通貨の世界に関する最新の洞察と分析を皆さんに提供することに情熱を注いでいます。
私のコンテンツを気に入っていただき、サポートしたい場合は、いいね、シェア、フォローして、より高品質な更新情報を入手してください。
ご支援ありがとうございます。今後も引き続き、よりエキサイティングなコンテンツをお届けできるよう、引き続きご協力をお願いいたします。
いいね❤️
シェア⏩
フォロー🤝