SushiSwap 已被漏洞利用,导致至少一名在 Twitter 上被称为 0xSifu 的用户损失超过 330 万美元。
该漏洞导致 RouterProcessor2 合约中存在与批准相关的缺陷,PeckShield 和 SushiSwap 的主厨 Jared Grey 建议撤销所有链。
根据 Ancilia, Inc. 从技术上讲,根本原因是因为内部 swap() 函数将执行 swapUniV3() 以设置位于存储槽 0x00 的“lastCalledPool”变量。 网络安全报告补充说,“稍后在 swap3callback 函数中绕过权限检查。”
“由于寿司交易所路由器合约的‘批准’机制存在缺陷,最初的攻击者利用了‘yoink’功能,”The Block Research 分析师 Brad Kay 解释道。
推荐阅读 192% 的黑客想要 ETH,对 Tezos 的兴趣大幅上涨 122%:调查
3小时前 2世界经济论坛探索基于区块链的数字身份
3小时前根据 DeFi Llama 的@0xngmi 的说法,只有那些在过去四天内在 SushiSwap 上进行过交易的人才会受到影响。 他们还发布了一份应在所有网络中撤销的合约清单,并开发了一种工具来确定你的地址是否受到影响。
根据 The Block 的研究助理 Kevin Peng 的说法,190 个以太坊地址已经验证了错误的合约。 然而,超过 2000 个 Layer 2 Arbitrum 地址似乎已经批准了这个有缺陷的合约。
消息传出后的一个小时内,Sushi 的治理代币价格仅下跌了 0.6%。 根据 Grey 的推文,Sushi 正在“与安全团队合作来缓解这个问题”。