crypto.newsとの独占インタビューで、Trustとして知られる匿名のホワイトハットハッカーが、RouteProcessor2コントラクトの脆弱性を利用した最近のハッキングに関する重要な詳細を共有しました。
Trustは、4月10日にSifuが保有する資金に対して先制的なハッキングを実行し、ユーザーの資金の相当額を救い、それらの資金を安全な場所に移した後に返還した。
残念ながら、悪意のある攻撃者が攻撃を模倣し、他の保有者に対して脆弱性を悪用することができました。
SushiSwap が高度な攻撃を受ける
Trust は、わずか 4 日前に導入された RouteProcessor2 コントラクトは、さまざまな種類のトークン SushiSwap (SUSHI) スワップを監視するように設計されていると説明しました。ユーザーは、ERC20 トークンを使用するコントラクトを事前に承認し、swap() 関数を呼び出してスワップを実行します。
ただし、この契約は、ユーザーが指定した「プール」アドレスを完全に信頼するため、UniswapV3 プールと安全でない方法でやり取りします。
この監視により、悪質なプールが契約に対して転送元と転送量に関する虚偽の情報を提供することが可能となり、どのユーザーでもスワップを偽造して他のユーザーの承認済み金額全体にアクセスできるようになります。
こちらもおすすめ: SushiSwap の MEV ボットが 330 万ドルの損失を引き起こした経緯
Trust は、この脆弱性は適切な監査会社であれば検出できるはずであり、実稼働コードベースの成熟度に懸念が生じていると述べています。
ハッカーはまた、資金節約トランザクションを複製して資産を盗む非常に洗練されたボットの存在についても言及し、マイナー抽出可能値(MEV)ボットと呼ばれるこれらのボットの豊富なリソースと機能を強調した。
Trust が先制ハッキングを実行することを選択した理由はいくつかあります。
まず、彼はハッキングの1時間半前に完全な脆弱性レポートを提出したが、返答はなかった。
第二に、彼は開発チームが週末に利用できないかもしれないと心配していました。
3 番目に、契約は修正できず、ハッキングするかユーザーの承認を取り消すことしかできないことを彼らは知っていました。
最終的に、彼らは、リスクにさらされている資金の大部分を保持している単一のアドレス、Sifu のアドレスを救うことを優先しました。Trust はまた、状況における MEV ボットの複雑さを予測していませんでした。
これらの暴露を踏まえると、暗号通貨コミュニティはセキュリティ慣行を再評価し、スマートコントラクトの徹底的な監査を優先して、このような脆弱性が悪用されるのを防ぐことが重要です。
Trust の行動は、ユーザーの資金を保護し、全体的なセキュリティを向上させるために活動する、エコシステムにおけるホワイトハットハッカーの重要性を示しています。
こちらもおすすめ: DeFiプロトコルEuler Financeが1億9,700万ドルのハッキング被害を受ける
