Mới đây, một trong những nhà phát triển của SushiSwap đã phủ nhận tuyên bố của một hacker mũ trắng tự xưng về rủi ro bảo mật đối với các nhà cung cấp thanh khoản SushiSwap.
Nhà phát triển đằng sau sàn giao dịch phi tập trung SushiSwap đã phủ nhận một lỗ hổng được báo cáo bởi một hacker mũ trắng đang nghiên cứu các hợp đồng thông minh của mình.
Theo báo cáo của các phương tiện truyền thông, tin tặc tuyên bố đã xác định được một lỗ hổng có thể khiến tiền của người dùng trị giá hơn 1 tỷ USD bị đe dọa.
Tin tặc tuyên bố đã xác định được “lỗ hổng trong chức năng Rút tiền khẩn cấp trong hai hợp đồng của SushiSwap, MasterChefV2 và MiniChefV2” – các hợp đồng chi phối các reward farms gấp đôi của sàn giao dịch và các pool trên các triển khai không phải Ethereum của SushiSwap như Polygon, Binance Smart Chain và Avalanche.
Mặc dù chức năng Rút tiền khẩn cấp cho phép các nhà cung cấp thanh khoản ngay lập tức claim token LP của họ trong khi mất phần thưởng trong trường hợp khẩn cấp, nhưng tin tặc tuyên bố tính năng này sẽ không thành công nếu không có phần thưởng nào được giữ trong pool SushiSwap – buộc các nhà cung cấp thanh khoản phải đợi pool được được nạp lại theo cách thủ công trong quá trình khoảng 10 giờ trước khi họ có thể rút token của mình.
“Có thể mất khoảng 10 giờ để tất cả những người có chữ ký đồng ý nạp tiền vào tài khoản rewards và một số reward pool trống rỗng nhiều lần trong tháng.”
“Việc triển khai non- Ethereum của SushiSwap và 2x reward (tất cả đều sử dụng các hợp đồng MiniChefV2 và MasterChefV2 dễ bị tổn hại) có tổng giá trị hơn 1 tỷ USD. Điều này có nghĩa là giá trị này về cơ bản là không thể đụng tới trong 10 giờ nhiều lần trong tháng.”
Tuy nhiên, nhà phát triển của SushiSwap đã lên Twitter để bác bỏ các tuyên bố, với “Shadowy Super Coder Mudit Gupta của nền tảng nhấn mạnh rằng mối đe dọa được mô tả” không phải là một lỗ hổng “và” không có tài sản nào đang bị đe dọa.”
Ông Gupta đã làm rõ rằng “bất kỳ ai” đều có thể nạp tiền vào reward pool trong trường hợp khẩn cấp, việc bỏ qua phần lớn quy trình multi-sig kéo dài 10 giờ mà tin tặc tuyên bố là cần thiết để bổ sung phần thưởng.
“Tuyên bố của hacker rằng ai đó có thể đặt nhiều lp để rút phần thưởng nhanh hơn là không chính xác. Phần thưởng cho mỗi LP sẽ giảm xuống nếu bạn thêm nhiều LP hơn.”
Tin tặc cho biết họ đã được hướng dẫn để báo cáo lỗ hổng trên nền tảng Immunefi – nơi SushiSwap đang đề nghị trả phần thưởng lên tới 40.000 USD cho những người dùng báo cáo lỗ hổng rủi ro trong mã của họ.
Tin tặc lưu ý rằng vấn đề đã được đóng trên Immunefi mà không được khoản tiền thưởng, vì SushiSwap cho biết họ đã nắm rõ về vấn đề được mô tả.
Coin68 tổng hợp
Có thể bạn quan tâm:
