Într-un interviu exclusiv pentru crypto.news, hackerul pseudonim cu pălărie albă cunoscut sub numele de Trust a împărtășit detalii cruciale cu privire la un hack recent care a profitat de o vulnerabilitate din contractul RouteProcessor2.
Trust a reușit să salveze o cantitate semnificativă de fonduri ale utilizatorilor efectuând un hack preventiv pe 10 aprilie asupra fondurilor deținute de Sifu, doar pentru a returna acele fonduri după ce le-a mutat în siguranță.
Din păcate, actorii rău intenționați au reușit să imite atacul și să exploateze vulnerabilitatea împotriva altor deținători.
SushiSwap lovit de atac avansat
Trust a explicat că contractul RouteProcessor2, implementat cu doar patru zile în urmă, este conceput pentru a supraveghea diferite tipuri de schimburi de token SushiSwap (SUSHI). Utilizatorii aprobă în prealabil contractul pentru a-și cheltui jetoanele ERC20, apoi apelează funcția swap() pentru a executa schimbul.
Cu toate acestea, contractul interacționează cu pool-urile UniswapV3 într-un mod nesigur, deoarece are total încredere în adresa „pool” furnizată de utilizator.
Supravegherea permite unui grup defectuos să furnizeze contractului informații false despre sursa și valoarea unui transfer, permițând oricărui utilizator să falsească un schimb și să obțină acces la întreaga sumă aprobată a altui utilizator.
S-ar putea să vă placă și: Iată cum roboții MEV de pe SushiSwap au cauzat o pierdere de 3,3 milioane USD
Trust a declarat că această vulnerabilitate ar fi trebuit să fie detectată de orice firmă de audit rezonabilă, ridicând îngrijorări cu privire la maturitatea bazei de cod de producție.
Hackerul a menționat, de asemenea, prezența unor roboți extrem de sofisticați care și-au replicat tranzacția de economisire a fondurilor pentru a fura active, subliniind resursele și capacitățile extinse ale acestor roboți, cunoscuți sub numele de roboți cu valoare extractibilă miner (MEV).
Trust a ales să efectueze hack-ul preventiv din mai multe motive.
În primul rând, el a trimis un raport complet de vulnerabilitate cu o oră și jumătate înainte de hack, dar nu a primit niciun răspuns.
În al doilea rând, îi era teamă că echipa de dezvoltare ar putea să nu fie disponibilă în weekend.
În al treilea rând, știau că contractul nu poate fi rezolvat și că poate fi doar piratat sau aprobările utilizatorilor revocate.
În cele din urmă, au prioritizat salvarea unei singure adrese care dețin majoritatea fondurilor aflate în pericol, adresa lui Sifu. De asemenea, încrederea nu a anticipat complexitatea roboților MEV în situație.
În lumina acestor dezvăluiri, este esențial ca comunitatea cripto să reevalueze practicile de securitate și să acorde prioritate auditurilor amănunțite ale contractelor inteligente pentru a preveni exploatarea unor astfel de vulnerabilități.
Acțiunile Trust demonstrează importanța hackerilor cu pălărie albă în ecosistem, care lucrează pentru a proteja fondurile utilizatorilor și pentru a îmbunătăți securitatea generală.
S-ar putea să vă placă și: Protocolul DeFi Euler Finance suferă un hack de 197 de milioane de dolari
