Децентрализованная биржа SushiSwap подверглась атаке утром в воскресенье. Эксплойт затрагивает контракт RouterProcessor2, используемый для направления сделок на платформе.
«Похоже, контракт RouterProcessor2 содержит связанный с предоставлением разрешений баг, что привело к потере более чем $3,3 млн пользователем @0xSifu», — сообщила компания по кибербезопасности PeckShield.
Разработчик DefiLlama под ником @0xngmi отметил, что эксплойт, предположительно, затрагивает пользователей, которые проводили сделки через SushiSwap в течение последних 4 дней. Ведущий разработчик SushiSwap Джаред Грей призвал пользователей отозвать разрешение у контракта, в то время как команда работает над устранением уязвимости.
Для отзыва разрешений предлагается воспользоваться Revoke.cash или другим аналогичным сервисом. @0xngmi добавляет, что отозвать разрешения у проблемного контракта требуется во всех сетях, где пользователь мог взаимодействовать с ним, и приводит список адресов этих контрактов.
«Баг позволяет неавторизованному лицу переводить токены без надлежащего одобрения их владельца, – пояснил аналитик The Block Брэк Кай. – После первой атаки на 100 ETH, которая, возможно, была проведена этичным хакером, произошла еще одна, в ходе которой хакер похитил около 1800 ETH при помощи того же контракта».
По словам аналитиков, уязвимому контракту предоставили разрешения 190 адресов в сети Ethereum, однако в сети второго уровня Arbitrum таких адресов насчитывается свыше 2000.
