Connect with us

Kryptowährung

SushiSwap dementiert Berichte über Milliarden-Dollar-Bug

blank

Published

blank

Der Entwickler hinter der beliebten dezentralen Börse SushiSwap hat eine angebliche Sicherheitslücke zurückgewiesen, die von einem White-Hat-Hacker gemeldet wurde, der seine Smart Contracts durchschnüffelt.

Laut Medienberichten soll der Hacker behauptet eine Schwachstelle identifiziert zu haben, durch die Benutzergelder im Wert von mehr als 1 Milliarde US-Dollar bedroht werden könnten, und gab an, dass sie die Informationen öffentlich gemacht hatten, nachdem Versuche, die Entwickler von SushiSwap zu erreichen, zu Untätigkeit geführt hatten.

Der Hacker behauptet, in zwei Verträgen von SushiSwap, MasterChefV2 und MiniChefV2, eine „Schwachstelle innerhalb der Notfall-Auszahlungsfunktion identifiziert zu haben“ – Verträge, die die 2x-Belohnungsfarmen der Börse und die Pools auf SushiSwaps Nicht-Ethereum-Bereitstellungen wie Polygon, Binance Smart Chain und Avalanche regeln .

Während die EmergencyWithdraw-Funktion es Liquiditätsanbietern ermöglicht, ihre LP-Token sofort zu beanspruchen, während sie im Notfall Belohnungen verlieren, behauptet der Hacker, dass die Funktion fehlschlägt, wenn keine Belohnungen im SushiSwap-Pool gehalten werden – was die Liquiditätsanbieter zwingt, auf die Freigabe des Pools zu warten über einen ungefähr 10-stündigen Prozess manuell aufgefüllt, bevor sie ihre Token abheben können.

„Es kann ungefähr 10 Stunden dauern, bis alle Signaturinhaber dem Auffüllen des Belohnungskontos zugestimmt haben, und einige Belohnungspools sind mehrmals im Monat leer“, behauptete der Hacker und fügte hinzu:

„Die Nicht-Ethereum-Bereitstellungen von SushiSwap und die doppelten Belohnungen (alle unter Verwendung der anfälligen MiniChefV2- und MasterChefV2-Verträge) haben einen Gesamtwert von über 1 Milliarde US-Dollar. Das bedeutet, dass dieser Wert mehrmals im Monat 10 Stunden lang praktisch unantastbar ist.“

Der pseudonyme Entwickler von SushiSwap hat sich jedoch an Twitter gewandt, um die Behauptungen zurückzuweisen.

Gupta geklärt dass „jeder“ im Notfall den Rewarder des Pools aufstocken kann, wodurch ein Großteil des 10-Stunden-Multi-Sig-Prozesses umgangen wird, der laut Hacker benötigt wird, um den Rewards-Pool aufzufüllen. Sie fügten hinzu:

„Die Behauptung des Hackers, dass jemand viel lp einsetzen kann, um den Belohner schneller zu entleeren, ist falsch. Die Belohnung pro LP sinkt, wenn du mehr LP hinzufügst.“

Verwandt: Das Token-Launchpad von SushiSwap, MISO, wurde für 3 Millionen US-Dollar gehackt

Der Hacker sagte, er sei angewiesen worden, die Schwachstelle auf der Bug-Bounty-Plattform Immunefi zu melden – wo SushiSwap anbietet, Benutzern, die riskante Schwachstellen in ihrem Code melden, Belohnungen von bis zu 40.000 US-Dollar zu zahlen – nachdem sie sich zum ersten Mal an die Börse gewandt haben.

Sie stellten fest, dass das Problem bei Immunefi ohne Entschädigung geschlossen wurde, wobei SushiSwap erklärte, dass ihnen die beschriebene Angelegenheit bekannt sei.