W ekskluzywnym wywiadzie dla crypto.news pseudonimowy haker w białym kapeluszu, znany jako Trust, podzielił się kluczowymi szczegółami dotyczącymi niedawnego włamania, które wykorzystało lukę w umowie RouteProcessor2.

Trust był w stanie zaoszczędzić znaczną ilość środków użytkowników, przeprowadzając 10 kwietnia zapobiegawczy atak na środki przechowywane przez Sifu, a następnie zwrócił je po przeniesieniu ich w bezpieczne miejsce.

Niestety, szkodliwi aktorzy byli w stanie imitować atak i wykorzystać lukę w stosunku do innych posiadaczy zabezpieczeń.

SushiSwap trafiony zaawansowanym atakiem

Trust wyjaśnił, że kontrakt RouteProcessor2, wdrożony zaledwie cztery dni temu, ma na celu nadzorowanie różnych typów wymiany tokenów SushiSwap (SUSHI). Użytkownicy wstępnie zatwierdzają umowę na wydanie swoich tokenów ERC20, a następnie wywołują funkcję swap() w celu wykonania zamiany.

Jednakże kontrakt wchodzi w interakcję z pulami UniswapV3 w niebezpieczny sposób, ponieważ całkowicie ufa adresowi „puli” dostarczonemu przez użytkownika.

To niedopatrzenie pozwala złej puli na dostarczenie do umowy fałszywych informacji o źródle i kwocie przelewu, umożliwiając każdemu użytkownikowi sfałszowanie swapu i uzyskanie dostępu do całej zatwierdzonej kwoty innego użytkownika.

Może Cię również zainteresować: Oto, jak boty MEV w SushiSwap spowodowały stratę 3,3 miliona dolarów

Trust stwierdził, że ta luka powinna była zostać wykryta przez każdą rozsądną firmę audytorską, co budzi obawy co do dojrzałości bazy kodu produkcyjnego.

Haker wspomniał również o obecności wysoce wyrafinowanych botów, które replikowały transakcje oszczędzające fundusze, aby zamiast tego kraść aktywa, podkreślając szerokie zasoby i możliwości tych botów, znanych jako boty MEV (miner Extractable Value).

Firma Trust zdecydowała się przeprowadzić włamanie zapobiegawcze z kilku powodów.

Po pierwsze, półtorej godziny przed włamaniem przesłał pełny raport o lukach w zabezpieczeniach, ale nie otrzymał żadnej odpowiedzi.

Po drugie, obawiał się, że zespół programistów może nie być dostępny w weekend.

Po trzecie, wiedzieli, że umowy nie da się naprawić, a jedynie można ją zhakować lub cofnąć zgodę użytkownika.

Wreszcie za priorytet uznali zapisanie jednego adresu, na którym znajduje się większość zagrożonych środków – adresu Sifu. Firma Trust nie przewidziała również złożoności botów MEV w tej sytuacji.

W świetle tych rewelacji dla społeczności kryptograficznej kluczowa jest ponowna ocena praktyk bezpieczeństwa i nadanie priorytetu dokładnym audytom inteligentnych kontraktów, aby zapobiec wykorzystaniu takich luk.

Działania Trust pokazują znaczenie hakerów białych kapeluszy w ekosystemie, pracujących na rzecz ochrony środków użytkowników i poprawy ogólnego bezpieczeństwa.

Może cię także zainteresować: Protokół DeFi Euler Finance ofiarą włamania na kwotę 197 milionów dolarów