В эксклюзивном интервью crypto.news хакер под псевдонимом, известный как Trust, поделился важными подробностями недавнего взлома, который воспользовался уязвимостью в контракте RouteProcessor2.

Trust удалось сэкономить значительную сумму средств пользователей, выполнив 10 апреля упреждающий взлом средств, хранящихся у Sifu, только для того, чтобы вернуть эти средства после их перемещения в безопасное место.

К сожалению, злоумышленники смогли имитировать атаку и использовать уязвимость против других владельцев.

SushiSwap поражен продвинутой атакой

В Trust пояснили, что контракт RouteProcessor2, развернутый всего четыре дня назад, предназначен для наблюдения за различными типами свопов токенов SushiSwap (SUSHI). Пользователи предварительно одобряют контракт на использование своих токенов ERC20, а затем вызывают функцию swap() для выполнения обмена.

Однако контракт взаимодействует с пулами UniswapV3 небезопасным образом, поскольку он полностью доверяет предоставленному пользователем адресу «пула».

Этот надзор позволяет плохому пулу предоставлять в контракт ложную информацию об источнике и сумме перевода, что позволяет любому пользователю подделать своп и получить доступ ко всей одобренной сумме другого пользователя.

Вам также может быть интересно: Вот как боты MEV на SushiSwap привели к убытку в 3,3 миллиона долларов.

Компания Trust заявила, что эта уязвимость должна была быть обнаружена любой разумной аудиторской фирмой, что вызвало обеспокоенность по поводу зрелости производственной базы кода.

Хакер также упомянул о наличии очень сложных ботов, которые копировали свои транзакции по экономии средств, чтобы вместо этого украсть активы, подчеркнув обширные ресурсы и возможности этих ботов, известных как боты, извлекающие ценность для майнеров (MEV).

Компания Trust решила провести упреждающий взлом по нескольким причинам.

Во-первых, он отправил полный отчет об уязвимостях за полтора часа до взлома, но не получил ответа.

Во-вторых, он боялся, что команда разработчиков может отсутствовать на выходных.

В-третьих, они знали, что контракт невозможно исправить и его можно только взломать или отозвать одобрение пользователей.

Наконец, они отдали приоритет сохранению единственного адреса, на котором находится большая часть средств, находящихся под угрозой, — адреса Сифу. Trust также не предвидел сложности ситуации с ботами MEV.

В свете этих разоблачений для криптосообщества крайне важно пересмотреть методы обеспечения безопасности и уделить приоритетное внимание тщательному аудиту смарт-контрактов, чтобы предотвратить использование таких уязвимостей.

Действия Trust демонстрируют важность хакеров в экосистеме, работающих над защитой средств пользователей и повышением общей безопасности.

Вам также может быть интересно: Протокол DeFi Euler Finance пострадал от взлома на 197 миллионов долларов