Разработчик SushiSwap опроверг сообщения об ошибке на миллиард долларов
Разработчик популярной децентрализованной биржи SushiSwap отверг предполагаемую уязвимость, о которой сообщил «белый хакер», выискивающий ошибки в смарт-контрактах. Утверждения самопровозглашенного «белого хакера» о серьезной угрозе безопасности для поставщиков ликвидности были отклонены.
По сообщениям СМИ, хакер утверждал, что обнаружил уязвимость, которая может поставить под угрозу средства пользователей на сумму более 1 миллиарда долларов, заявив, что они обнародовали информацию после того, как попытки связаться с разработчиками SushiSwap привели к бездействию.
Хакер утверждает, что обнаружил «уязвимость в функции экстренного вывода средств в двух контрактах SushiSwap, MasterChefV2 и MiniChefV2» - контрактах, которые регулируют фермы двукратного вознаграждения биржи и пулы в развертываниях SushiSwap, не связанных с Ethereum, таких как Polygon, Binance Smart Chain и Avalanche.
В то время как функция EmergencyWithdraw позволяет поставщикам ликвидности немедленно требовать свои токены LP, теряя при этом вознаграждения в случае возникновения чрезвычайной ситуации, хакер утверждает, что эта функция не сработает, если в пуле SushiSwap не будут храниться вознаграждения, что вынуждает поставщиков ликвидности ждать, пока пул будет завершен. пополняется вручную в течение примерно 10-часового процесса, прежде чем они смогут вывести свои токены.
«Всем держателям подписей может потребоваться около 10 часов, чтобы дать согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений опустошаются несколько раз в месяц», - заявил хакер, добавив: «Развертывания SushiSwap без использования Ethereum и двукратные вознаграждения (все с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) имеют общую стоимость более 1 миллиарда долларов. Это означает, что это значение практически неприкосновенно в течение 10 часов несколько раз в месяц».
Тем не менее, псевдонимный разработчик SushiSwap отверг эти претензии в твиттере. «Shadowy Super Coder Mudit Gupta» платформы подчеркнул, что описанная угроза «не является уязвимостью» и что «никакие средства не подвергаются риску».
Гупта пояснил, что «любой» может пополнить пул вознаграждения в случае чрезвычайной ситуации, минуя большую часть 10-часового процесса с несколькими подписями, который, как утверждал хакер, необходим для пополнения пула вознаграждений. Он добавили:
«Утверждение хакера о том, что кто-то может добавить много LP, чтобы быстрее слить компенсацию, неверно. Награда за LP уменьшается, если вы добавляете больше LP», - добавил он.
Хакер сказал, что им было дано указание сообщить об уязвимости на платформе выявления ошибок Immunefi, где SushiSwap предлагает выплатить вознаграждение в размере до 40 000 долларов пользователям, которые сообщают о рискованных уязвимостях в своем коде.
Они отметили, что вопрос был закрыт на Immunefi без компенсации, при этом SushiSwap заявил, что им было известно об описанном вопросе.