سقطت منصة التداول اللامركزية SushiSwap ضحية لاستغلال. أدى ذلك إلى خسارة أكثر من 3.3 مليون من مستخدم واحد على الأقل، يُعرف باسم 0xSifu على Twitter.
يتضمن الاستغلال خطأ متعلق بالموافقة في عقد RouterProcessor2. يوصي Jared Gray، رئيس BakeShield and Sushi Soap، بإلغاء جميع السلاسل.
السبب الجذري، وفقًا لشركة Ancilia، Inc. تقنيًا، “هو أنها وظيفة مبادلة داخلية.” سيستدعي swapUniV3 لتعيين متغير “lastCalledPool” الموجود في فتحة التخزين 0x00. “
يضيف حساب الأمن السيبراني أنه “لاحقًا في وظيفة swap3callback، يتم تجاوز فحص الإذن.”
إلى yoink أو notyoink بمعنى آخر، بالموافقة على عقد سيئ. يسمح المستخدمون عن غير قصد للمستغل بسرقة الرموز المميزة الخاصة به – أو “يوينك” في هذه الحالة.
تم استخدام وظيفة “yoink” من قبل المهاجم الأول. هذا لأن ناقل الهجوم كان خطأ في آلية “الموافقة” لعقد توجيه SushiSwap.
يوضح كاي “يسمح الخطأ للكيان غير المصرح له” بإلغاء “الرموز المميزة بشكل أساسي دون الحصول على موافقة مناسبة من مالك الرمز المميز”. مضيفًا “بعد الهجوم الأول لـ 100 ETH – من المحتمل أن تكون القبعة البيضاء – يبدو أن متسللًا آخر قد دخل وسرقوا ETH 1800 آخر باستخدام نفس العقد ولكن بدلاً من ذلك أطلقوا على وظيفتهم” notyoink “.
كم عدد مستخدمي سوشي سواب المتأثرين تدعي التقارير المبكرة أنه لا يوجد الكثير من مستخدمي SushiSwap في خطر حاليًا.
يدعي DeFi Llama’s @ 0xngmi أنه يجب أن يتأثر فقط أولئك الذين استبدلوا SushiSwap خلال الأيام الأربعة الماضية. قاموا أيضًا بنشر قائمة بالعقود عبر جميع السلاسل التي يجب إلغاؤها وأنشأوا أداة للتحقق مما إذا كان أي من عناوينك قد تأثر.
يوضح المحلل في Block Research كيفن بينج ذلك، حتى الآن. تمت الموافقة على 190 سندًا للعقد المبرم. ومع ذلك، يبدو أن أكثر من 2000 عنوان على Layer 2 Arbitrum قد قبلت العقد السيئ.
انخفض سعر توكن حوكمة السوشي بنسبة 0.6 ٪ فقط في الساعة منذ اندلاع الأخبار.
جراي – الذي يسعى أيضًا للحصول على 3 ملايين دولار كتمويل للدفاع القانوني من سوشي بعد أن تلقى سوشي أمر استدعاء من لجنة الأوراق المالية والبورصات الأمريكية. وغرد أن سوشي “تعمل مع فرق أمنية للتخفيف من حدة المشكلة”.