PANews 9. aprīļa ziņas, saskaņā ar Slow Mist drošības komandas izlūkošanas analīzi, SUSHI RouteProcessor2 ir ticis uzbrukts. Slow Mist drošības komanda dalās ar šādu informāciju īsziņas formātā:
1. Pamata iemesls ir ProcessRoute, kas neveica nekādas pārbaudes uz lietotāja nodoto route parametru, kas ļāva uzbrucējam izmantot šo problēmu, lai konstruētu viltus route parametru, kas padarīja līgumu lasāmu Pool, ko izveidoja uzbrucējs.
2. Tā kā līgumā netika pārbaudīts, vai Pool ir likumīgs, lastCalledPool mainīgais tika tieši iestatīts uz Pool un tika izsaukta Pool swap funkcija.
3. Viltus Pool savā swap funkcijā izsauca RouteProcessor2's uniswapV3SwapCallback funkciju, jo lastCalledPool mainīgais tika iestatīts uz Pool, tāpēc pārbaude par msg.sender iekš uniswapV3SwapCallback tika apieta.
4. Uzbrucēji izmantoja šo problēmu, konstruējot token pārsūtīšanas parametrus, kad viltus Pool izsauca uniswapV3SwapCallback funkciju, lai nozagtu citu jau autorizētu lietotāju tokenus RouteProcessor2.
Laimīgā kārtā daļu lietotāju līdzekļu ir izdevies atgūt balto cepuru dēļ. Slow Mist drošības komanda iesaka RouteProcessor2 lietotājiem nekavējoties atsaukt autorizāciju pret 0x044b75f554b886a065b9567891e45c79542d7357.
Šodien agrāk ziņots, ka SushiSwap projekts ir iespējami uzbrukt, zaudējot apmēram 334 miljonus ASV dolāru.
