Отчет об уязвимости SushiSwap опубликовано анонимным хакером в белой шляпе был отклонен разработчиками популярной децентрализованной биржи.

Хакер и его предполагаемые уязвимости в сети SushiSwap впервые стали известны в СМИ. В то же время хакер утверждал, что пользователи могут понести убытки на сумму более 1 миллиарда долларов из-за этих угроз.

Хакер также согласился обнародовать информацию только после того, как попытки конфиденциально довести ее до сведения разработчиков SushiSwap не привели к каким-либо действиям.

В отчете хакер утверждал, что обнаружил «уязвимость в функции EmergencyWithdraw в двух контрактах SushiSwap, MasterChefV2 и MiniChefV2». Эти контракты регулируют 2-кратное вознаграждение ферм и пулов биржи на не-Ethereum боковые цепи, такие как Binance Умная сеть, Многоугольник, Фантом, Avalanche, среди прочего.

Функция EmergencyWithdraw обеспечивает безопасность пользователей, использующих сервисы DeFi, по сути, позволяя им немедленно вывести свои токены поставщика ликвидности (LP) в случае возникновения чрезвычайной ситуации, утрачивая при этом любые вознаграждения, заработанные до этого момента.

По словам хакера, эта функция вводит в заблуждение, поскольку она не будет работать должным образом, если в пуле SushiSwap не будет вознаграждений.

Если награды в пуле иссякают, они должны быть заполнены вручную командой проекта с использованием учетной записи с несколькими подписями, часто работая в совершенно разных часовых поясах. Хакер считает, что это может привести к тому, что время ожидания может составить более 10 часов, прежде чем токены можно будет вывести. В отчете доработаны:

«Всем держателям подписей может потребоваться около 10 часов, чтобы дать согласие на пополнение счета вознаграждений, а некоторые пулы вознаграждений опустошаются несколько раз в месяц. Развертывания SushiSwap без использования Ethereum и двукратные вознаграждения (все с использованием уязвимых контрактов MiniChefV2 и MasterChefV2) составляют более 1 миллиарда долларов. Это означает, что это значение практически невозможно в течение 10 часов несколько раз в месяц ».

Однако разработчики платформы теперь представили разъяснение. Платформенный «Shadowy Super Coder» Мудит Гупта решил, что Twitter чтобы подчеркнуть, что сама угроза «не является уязвимостью», добавив, что «никакие средства не подвергаются риску».

Разработчик заявил, что вопреки утверждениям хакера, пул может быть пополнен «кем угодно» в случае возникновения чрезвычайной ситуации. Это делает 10-часовой процесс мультиподписи, объясненный хакером, неуместным. Далее Гупта добавил:

«Утверждение хакера о том, что кто-то может добавить много LP, чтобы быстрее слить компенсацию, неверно. Награда за LP уменьшается, если вы добавляете больше LP ».

В любом случае, намерение хакера, похоже, состояло в том, чтобы «информировать нынешних и будущих пользователей SushiSwap о рисках, которые они берут на себя, доверяя этим уязвимым контрактам. […]. » Фактически, хакер в белой шляпе также обвинил SushiSwap в том, что он слишком небрежно отнесся к этому вопросу.

«Проблема» впервые была поднята через программу вознаграждения за ошибки, Immunefi. В то же время SushiSwap предлагает выплатить вознаграждение в размере до 40 000 долларов пользователям, которые сообщают о рискованных уязвимостях в своем коде.

Однако вопрос был закрыт на Immunefi без компенсации.