SushiSwap取引所、330万ドルの大規模なスマートコントラクトハッキングを受ける

Yamada
| 2 min read

錠とコード

出典:AdobeStock / Sergey Nivens

人気の分散型取引所(DEX)プラットフォームSushiSwapが、ハッカーにスマートコントラクトのバグを悪用され、330万ドル以上の損失を被りました。

具体的には、この取引所は、複数のソースから取引流動性を集約し、コインの交換に最も有利な価格を特定するスマートコントラクトの「RouteProcess02」が、様々なブロックチェーンネットワークに分散するのを経験しました。

「根本的な原因は、内部のswap()関数でswapUniV3()を呼び出し、ストレージスロット0x00にある変数『lastCalledPool』を設定するためです 」と仮想通貨セキュリティ会社Anciliaはツイートで述べています。「その後、swap3callback関数で、権限チェックが回避されます。」

DefiLlamaの偽名開発者0xngmiは、過去4日間にプロトコルの交換を行ったユーザーだけがハッキングの影響を受けるはずだと示唆しました。

「Sushiswapハックの影響を受けたユーザーは、過去4日間にSushiswapでスワップした人のみであるはずです。もしスワップしたのなら、早急に承認を取り消すか、影響を受けたウォレットの資金を新しいウォレットに移してください。」と0xngmiはツイートしました

これまでに少なくとも1人のユーザーがハッキングの被害に遭っています。この被害者はSifu氏と呼ばれる有名な仮想通貨支持者で、1,800ETH(約330万ドル相当)を失ったと報告されています。

一方、Sushiの開発責任者であるJared Grey氏は、「SushiのRouteProcessor2コントラクトには承認バグがあるので、早急に承認を取り消してください」と述べ、プロトコル上のすべてのコントラクトの承認を取り消すようにユーザーに呼びかけています。

彼は、この問題に対処するために、異なるブロックチェーンで承認撤回を必要とするコントラクトのリストをGitHubで作成しました。注目すべきは、脆弱なコントラクトが、人気のあるイーサリアムのレイヤー2ソリューションであるPolygonにも展開されていることです。

SushiSwap、盗まれた資金の 「大部分 」を回収


SushiSwapチームは、ホワイトハットのセキュリティプロセスにより、盗まれた資金のかなりの部分を回収することに成功しました。

「我々は、影響を受けた資金の大部分をホワイトハットのセキュリティプロセスで確保しました。ホワイトハットによる復旧を行った場合は、次のステップのために[email protected] に連絡してください。」とGrey氏は9日午前9時42分(Eastern Time)に述べています

「Sifu氏の盗まれた資金のCoffeebabeから300ETH以上の回収を確認しました。さらに700ETHについてLidoのチームと連絡を取っています。」

SushiswapのCTOであるMatthew Lilley氏は、その日のうちにフォローアップし、Sushiswapのdexプラットフォームを使用することに現在問題はないと述べました。「RouterProcessor2への露出はフロントエンドから取り除かれており、すべてのLPing / 現在のスワップ活動は安全に行うことができます。」と彼は付け加えました。

今回のハッキングは、Sushi DAOとGrey氏が米国証券取引委員会から召喚状を提出され、DEXに対する規制当局の監視が強化されていることを受けてのことです。

3月21日、同組織は、Sushi DAOに提出した想定される訴訟費用に対応するための弁護団設立に関する提案書という形で、今回の召喚を発表しました。

週末、Grey氏は召喚状に関する公式声明を発表し、「SECの調査は、連邦証券法違反があったかどうかを判断しようとする非公開の事実調査である」と主張しました。

「我々の知る限り、SECは(本稿執筆時点では)Sushi氏の関係者が米国連邦証券法に違反したという結論を出していないとのことです。」