SushiSwap phủ nhận báo cáo về lỗi hàng tỷ đô la

31 lượt xem
SushiSwap phu nhan bao cao ve loi hang ty do la

Tuyên bố của một hacker mũ trắng tự xưng về rủi ro bảo mật lớn đối với các nhà cung cấp thanh khoản SushiSwap đã bị một trong những nhà phát triển của sàn giao dịch từ chối.

Một trong những nhà phát triển đằng sau sàn giao dịch phi tập trung phổ biến SushiSwap đã từ chối một lỗ hổng có chủ đích được báo cáo bởi một hacker mũ trắng đang rình mò các hợp đồng thông minh của họ.

Theo báo cáo của các phương tiện truyền thông, tin tặc tuyên bố đã xác định được một lỗ hổng có thể khiến số tiền của người dùng trị giá hơn 1 tỷ đô la bị đe dọa, tuyên bố rằng họ đã công khai thông tin sau khi nỗ lực liên hệ với các nhà phát triển của SushiSwap dẫn đến kết quả không được thực hiện.

Tin tặc tuyên bố đã xác định được “lỗ hổng trong chức năng Rút tiền khẩn cấp trong hai hợp đồng của SushiSwap, MasterChefV2 và MiniChefV2” – các hợp đồng chi phối các trang trại phần thưởng gấp đôi của sàn giao dịch và các nhóm trên các triển khai không phải Ethereum của SushiSwap , chẳng hạn như Polygon, Binance Smart Chain và Tuyết lở.

Mặc dù chức năng Rút tiền Khẩn cấp cho phép các nhà cung cấp thanh khoản ngay lập tức yêu cầu các mã thông báo của nhà cung cấp thanh khoản của họ trong khi mất phần thưởng trong trường hợp khẩn cấp, nhưng tin tặc tuyên bố tính năng này sẽ thất bại nếu không có phần thưởng nào được giữ trong nhóm SushiSwap – buộc các nhà cung cấp thanh khoản phải đợi nhóm để được nạp lại theo cách thủ công trong quá trình khoảng 10 giờ trước khi họ có thể rút mã thông báo của mình.

“Có thể mất khoảng 10 giờ để tất cả những người có chữ ký đồng ý nạp tiền vào tài khoản phần thưởng và một số phần thưởng trống nhiều lần trong tháng,” hacker tuyên bố và nói thêm:

“Việc triển khai không phải Ethereum của SushiSwap và phần thưởng gấp đôi (tất cả đều sử dụng các hợp đồng MiniChefV2 và MasterChefV2 dễ bị tổn thương) có tổng giá trị hơn 1 tỷ đô la. Điều này có nghĩa là giá trị này về cơ bản là không thể chạm tới trong 10 giờ nhiều lần trong tháng ”. 

Tuy nhiên, nhà phát triển bút danh của SushiSwap đã lên Twitter để bác bỏ các tuyên bố, với “Shadowy Super Coder” Mudit Gupta của nền tảng nhấn mạnh rằng mối đe dọa được mô tả “không phải là một lỗ hổng” và “không có quỹ nào có nguy cơ xảy ra.”

Gupta đã làm rõ rằng “bất kỳ ai” đều có thể nạp tiền cho phần thưởng của nhóm trong trường hợp khẩn cấp, việc bỏ qua phần lớn quy trình multi-sig kéo dài 10 giờ mà tin tặc tuyên bố là cần thiết để bổ sung phần thưởng. Họ đã thêm:

“Tuyên bố của hacker rằng ai đó có thể đặt nhiều lp để rút phần thưởng nhanh hơn là không chính xác. Phần thưởng cho mỗi LP sẽ giảm xuống nếu bạn thêm nhiều LP hơn. ”

Tin tặc cho biết họ đã được hướng dẫn báo cáo lỗ hổng trên nền tảng tiền thưởng lỗi Immunefi – nơi SushiSwap đang đề nghị trả phần thưởng lên tới 40.000 đô la cho những người dùng báo cáo lỗ hổng rủi ro trong mã của nó – sau khi họ lần đầu tiên liên hệ với sàn giao dịch.

Họ lưu ý rằng vấn đề đã được đóng trên Immunefi mà không được bồi thường, với SushiSwap cho biết họ đã biết về vấn đề được mô tả.

Bạn có thể thích

About the Author: BTC66.VN