SushiSwap опровергает сообщения «хакера в белой шляпе» об ошибке на миллиард долларов

0
26

Один из разработчиков популярной децентрализованной биржи SushiSwap отверг предполагаемую уязвимость, о которой сообщил «хакер в белой шляпе», изучающий их смарт-контракты.

По сообщениям СМИ, хакер утверждал, что обнаружил уязвимость, которая может поставить под угрозу средства пользователей на сумму более 1 миллиарда долларов, заявив, что он  обнародовал информацию после того, как попытки связаться с разработчиками SushiSwap не привели к результату.

Хакер утверждает, что обнаружил «уязвимость в функции экстренного вывода средств в двух контрактах SushiSwap, MasterChefV2 и MiniChefV2» – контрактах, которые регулируют фермы двукратного вознаграждения биржи и пулы в развертываниях SushiSwap, не связанных с Ethereum, таких как Polygon, Binance Smart Chain и Лавина.

В то время как функция экстренного вывода позволяет поставщикам ликвидности немедленно требовать свои токены поставщика ликвидности, теряя вознаграждение в случае чрезвычайной ситуации, хакер утверждает, что функция не сработает, если в пуле SushiSwap не будет удерживаться вознаграждение, что вынуждает поставщиков ликвидности ждать пула. «Всем держателям подписей может потребоваться около 10 часов, чтобы дать согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений опустошаются несколько раз в месяц», – заявил хакер, добавив:

«Развертывания SushiSwap без использования Ethereum и двукратные вознаграждения (все с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) имеют общую стоимость более 1 миллиарда долларов. Это означает, что это значение практически невозможно в течение 10 часов несколько раз в месяц».

Тем не менее, псевдонимный разработчик SushiSwap написал в Twitter, чтобы отвергнуть претензии, при этом «Shadowy Super Coder» платформы Мудит Гупта подчеркнул, что описанная угроза «не является уязвимостью» и что «никакие средства не подвергаются риску».

Гупта пояснил, что «любой» может пополнить пул вознаграждения в случае чрезвычайной ситуации, минуя большую часть 10-часового процесса с несколькими подписями, который, по утверждениям хакера, необходим для пополнения пула вознаграждений. Он добавил:

«Утверждение хакера о том, что кто-то может добавить много LP, чтобы быстрее слить компенсацию, неверно. Награда за LP уменьшается, если вы добавляете больше LP».

Хакер сказал, что он  сообщил об уязвимости на платформе для выявления ошибок Immunefi, где SushiSwap предлагает выплатить вознаграждение в размере до 40 000 долларов пользователям, сообщающим о рискованных уязвимостях в его коде, после того, как они впервые обратились к бирже.

Он отметил, что тема была закрыта на Immunefi без компенсации, при этом SushiSwap заявила, что знала об описанном вопросе.

 

Поделиться новостью

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here