SushiSwap annuncia una strategia per rimborsare i fondi degli utenti rubati in un attacco hacker da 3,3 milioni di dollari

SushiSwap ha annunciato l'impegno a rimborsare tutti gli utenti interessati dopo essere stati hackerati durante il fine settimana.

I fondi degli utenti sono stati "spazzati via dai team di sicurezza whitehat" o "persi a causa degli hacker blackhat", secondo l'exchange decentralizzato. Se i fondi sono nel contratto whitehat, significa che il denaro è stato recuperato dai team di sicurezza e gli utenti potranno metterci le mani sopra. Per trasferire il denaro recuperato sui portafogli degli utenti, SushiSwap creerà un contratto Merkle Claim.

Aggiornamento Exploit e rimborso utente RouteProcessor2!
Leggi il thread seguente su: quali sono le prospettive per i fondi degli utenti interessati e quali processi stiamo impostando per restituire i fondi degli utenti.
️ In primo luogo, sappi che l'app web di Sushi's Swap è sicura da usare ora!
— Sushi.com (@SushiSwap) 12 aprile 2023

Tuttavia, gli utenti dovrebbero attendere più a lungo per un rimborso se i loro fondi sono ancora legati al contratto Blackhat. Ciò è dovuto al fatto che ogni richiesta deve essere attentamente esaminata dall'exchange decentralizzato utilizzando l'analisi dei dati on-chain prima che possa essere pagata.

Gli utenti che non hanno contattato il protocollo negli ultimi 10 giorni probabilmente non sono stati danneggiati dall'attacco, secondo l'exchange decentralizzato. Tuttavia, come precauzione di sicurezza, il team ha consigliato agli utenti di ricontrollare le proprie autorizzazioni.

Un bug del contratto RouterProcessor2 correlato all'approvazione è stato utilizzato contro SushiSwap il 9 aprile. Le risorse appartenenti agli utenti che hanno approvato il contratto debole sono state prelevate, con una perdita complessiva di circa $ 3,3 milioni.

Trucco SushiSwap

Le società di sicurezza blockchain CertiK Alert e Peckshield affermano che il bug ha influenzato la funzione di approvazione del contratto di Sushi's Routing Processor 2. Questo contratto intelligente ha il compito di raccogliere liquidità commerciale da varie fonti e determinare il miglior prezzo per lo scambio di monete.

Solo le persone che avevano negoziato sull'exchange decentralizzato nei quattro giorni precedenti sono state interessate dalla vulnerabilità. Jared Grey, il capo sviluppatore di SushiSwap, ha consigliato agli utenti di rimuovere i diritti per qualsiasi contratto sul protocollo.

Per risolvere il problema, su GitHub è stato creato un elenco di contratti che richiedono la revoca. Una "quantità significativa di fondi danneggiati" è stata rapidamente recuperata utilizzando una procedura di sicurezza white hat dopo l'evento.

90 degli ETH rubati sono stati restituiti da uno degli aggressori, mentre BlockSec, una società di sicurezza, ha recuperato altri 100 ETH.