Theo PeckShield, đơn vị bảo mật blockhain, sàn giao dịch phi tập trung SushiSwap bị tấn công, gây thiệt hại hơn 3.3 triệu USD cho một người dùng với tài khoản Twitter @0xSifu.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
— PeckShield Inc. (@peckshield) April 9, 2023
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
Cuộc tấn công liên quan đến lỗi trên hợp đồng RouterProcessor2. Theo đó, cả PeckShield và Jard Grey, Head Chef của SushiSwap, đều khuyên mọi người revoke trên tất cả các chain.
Theo Ancilia, Inc., đơn vị bảo mật mạng được hỗ trợ bởi Binance Labs, lỗi này bắt nguồn từ chức năng "internal swap". Theo đó, tính năng này sẽ gọi lệnh swapUniV3 để đặt biến lastCalledPool. Sau đó, tính năng swap3callback nhằm cấp phép đã bị bỏ qua.
"Tính năng yoink đã được kẻ tấn công đầu tiên sử dụng, do một lỗi đến từ cơ chế cấp phép ở hợp đồng SushiSwap. Từ đó cho phép những cá nhân không có thẩm quyền dễ dàng yoink token mà không cần sự cho phép của người dùng. Đợt hack đầu tiên đến từ hacker mũ trắng, gây thiệt hại 100 ETH. Trong khi đó, hacker khác đã trộm 1,800 ETH, tương đương 3.2 triệu USD, bằng cách thức tương tự", theo Brad Kay, từ The Block Research.
Theo @0xngmi, những người dùng từng giao dịch trên SushiSwap trong 4 ngày qua trên SushiSwap nên revoke tất cả các hợp đồng trong danh sách sau.
only users impacted by sushiswap hack should be those that swapped on sushiswap in the last 4 days, if you did so revert approvals asap or move your funds in affected wallet to a new wallet
— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023
Theo Kevin Peng, từ The Block Research, hơn 190 Ethereum đã tương tác với hợp đồng trên. Trong khi trên Ethereum, hơn 2,000 địa chỉ đã chấp thuận cho hợp đồng này.