Vụ hack SushiSwap: Mất hơn 3,3 triệu USD, Bếp trưởng đề nghị thu hồi hợp đồng RouterProcessor2
Chúng tôi sẽ trình bày trong bài viết này 👇
Giới thiệu
Việc khai thác xảy ra như thế nào
Yoink hay không Yoink?
Có bao nhiêu người dùng bị ảnh hưởng?
Phản hồi từ SushiSwap Trưởng bếp Jared Gray
Đồ ăn mang về
Phần kết luận
Giới thiệu:
Sàn giao dịch phi tập trung SushiSwap đã bị tấn công bởi một lỗ hổng dẫn đến mất hơn 3,3 triệu USD từ ít nhất một người dùng. Cuộc tấn công liên quan đến một lỗi liên quan đến phê duyệt trên hợp đồng RouterProcessor2, khiến Bếp trưởng Jared Gray của SushiSwap khuyến nghị thu hồi nó trên tất cả các chuỗi.
Việc khai thác xảy ra như thế nào:
Nguyên nhân cốt lõi, theo Ancilia, Inc., là do lỗi trong hàm swap() bên trong. Hàm này gọi swapUniV3() để đặt biến "lastCalledPool" ở khe lưu trữ 0x00. Sau này, trong chức năng swap3callback, việc kiểm tra quyền sẽ bị bỏ qua, cho phép một thực thể trái phép đánh cắp mã thông báo từ những người dùng đã vô tình phê duyệt hợp đồng xấu.
Yoink hay không Yoink?
Vector tấn công là một lỗi trong cơ chế "phê duyệt" của hợp đồng bộ định tuyến SushiSwap. Việc khai thác cho phép một thực thể trái phép "yoink" mã thông báo mà không có sự chấp thuận thích hợp từ chủ sở hữu mã thông báo. Sau cuộc tấn công đầu tiên nhằm lấy 100 ETH, một hacker khác đã xuất hiện và đánh cắp 1800 ETH khác bằng cách sử dụng cùng một hợp đồng nhưng đặt tên cho chức năng của chúng là “notyoink”.
Có bao nhiêu người dùng bị ảnh hưởng?
Các báo cáo ban đầu cho thấy không có nhiều người dùng SushiSwap gặp rủi ro, chỉ những người giao dịch trên nền tảng này trong vòng bốn ngày qua mới bị ảnh hưởng. @0xngmi của DeFi Llama đã công bố danh sách các hợp đồng trên tất cả các chuỗi cần bị thu hồi và họ đã xây dựng một công cụ để kiểm tra xem có địa chỉ nào của bạn bị ảnh hưởng hay không. Nhà phân tích nghiên cứu khối Kevin Peng tiết lộ rằng cho đến nay, 190 địa chỉ Ethereum đã phê duyệt hợp đồng có vấn đề. Tuy nhiên, hơn 2000 địa chỉ trên Arbitrum Lớp 2 dường như đã chấp thuận hợp đồng xấu.
Phản hồi từ Bếp trưởng SushiSwap Jared Grey:
Gray đã tweet rằng SushiSwap đang làm việc với các nhóm bảo mật để giảm thiểu vấn đề. Anh ta cũng đang tìm kiếm một quỹ bảo vệ pháp lý trị giá 3 triệu đô la từ Sushi DAO sau khi nền tảng này nhận được trát đòi hầu tòa từ Ủy ban Chứng khoán và Giao dịch Hoa Kỳ.
Takeaways:
Sàn giao dịch phi tập trung không tránh khỏi bị hack và khai thác.
Luôn cẩn thận khi phê duyệt hợp đồng trên nền tảng DeFi.
Việc thu hồi hợp đồng là cần thiết để ngăn chặn các cuộc tấn công trong tương lai.
Phần kết luận:
Cách khai thác gần đây của SushiSwap nêu bật tầm quan trọng của việc thực hiện các biện pháp phòng ngừa cần thiết khi sử dụng nền tảng DeFi. Khuyến nghị của Trưởng bếp SushiSwap Jared Grey về việc thu hồi hợp đồng RouterProcessor2 trên tất cả các chuỗi là rất quan trọng để ngăn chặn các cuộc tấn công tương tự xảy ra trong tương lai. Điều cần thiết là phải luôn cảnh giác và thực hành thói quen giao dịch an toàn để ngăn ngừa mất tiền do các cuộc tấn công mạng.
Này, là CryptoPatel đây!
Tôi rất mong muốn cung cấp cho bạn những hiểu biết và phân tích mới nhất về thế giới tiền điện tử.
Nếu bạn thích nội dung của tôi và muốn thể hiện sự ủng hộ của mình, vui lòng thích, chia sẻ và theo dõi tôi để có những cập nhật chất lượng cao hơn.
Cảm ơn sự hỗ trợ của bạn và hãy tiếp tục kết nối để có thêm nội dung thú vị!
THÍCH ❤️
Chia sẻ ⏩
Theo dõi 🤝