Il 9 aprile, diversi rapporti sulla sicurezza su Twitter hanno rivelato che un bug in un contratto intelligente sul protocollo di finanza decentralizzata (DeFi) SushiSwap ha portato a perdite per oltre 3 milioni di dollari. Secondo CertiK Alert e Peckshield, società di sicurezza blockchain, il bug si è verificato nella funzione di approvazione nel contratto Router Processor 2 di Sushi. Questo contratto intelligente è responsabile dell'aggregazione della liquidità commerciale da più fonti e dell'identificazione del prezzo più favorevole per lo scambio di monete.
Il bug ha colpito solo gli utenti che avevano negoziato sull'exchange decentralizzato negli ultimi quattro giorni. Il capo sviluppatore di SushiSwap, Jared Grey, ha esortato gli utenti a revocare le autorizzazioni per tutti i contratti sul protocollo. Su GitHub è stato creato un elenco di contratti che richiedono la revoca per risolvere il problema. Entro poche ore dall'incidente, "gran parte dei fondi interessati" è stata recuperata attraverso un processo di sicurezza white hat.
Sushi Community in subbuglio
Il weekend dell'8-10 aprile è stato intenso per la comunità Sushi. L'8 aprile, Gray e il suo avvocato hanno commentato un recente mandato di comparizione della Securities and Exchange Commission (SEC) degli Stati Uniti. Gray ha affermato che l'indagine della SEC è "un'indagine conoscitiva non pubblica che cerca di determinare se ci sono state violazioni delle leggi federali sui titoli". Ha aggiunto che, per quanto ne sapeva, la SEC non aveva concluso che qualcuno affiliato a Sushi avesse violato le leggi federali statunitensi sui titoli. Gray afferma di collaborare alle indagini.
Un fondo di difesa legale in risposta alla citazione è stato proposto al forum sulla governance di Sushi il 21 marzo. La citazione ha creato scompiglio all'interno della comunità di Sushi, poiché alcuni membri ritengono che il protocollo sia preso di mira ingiustamente. Altri temono che l'indagine della SEC possa portare a un maggiore controllo normativo dello spazio DeFi nel suo complesso.
Problemi di sicurezza nella DeFi
Il recente bug su SushiSwap è solo un esempio dei problemi di sicurezza che hanno afflitto lo spazio DeFi negli ultimi anni. Bug di contratti intelligenti, hack e pull pull hanno comportato perdite per milioni di dollari per gli utenti DeFi. Questi incidenti hanno portato a un maggiore controllo da parte delle autorità di regolamentazione e richiedono migliori misure di sicurezza nello spazio DeFi.
Mentre alcuni protocolli DeFi hanno implementato misure di sicurezza come audit e bug bounty, altri no. La mancanza di regolamentazione nello spazio DeFi ha reso difficile per gli utenti sapere quali protocolli sono sicuri da usare. Alcuni esperti prevedono che lo spazio DeFi continuerà ad affrontare sfide di sicurezza fino a quando non verranno messi in atto quadri normativi più solidi.
La risposta di SushiSwap all'incidente
In seguito all'incidente del 9 aprile, lo sviluppatore capo di SushiSwap, Jared Grey, ha annunciato che il protocollo stava lavorando con i team di sicurezza per mitigare il problema. Ha inoltre esortato gli utenti a revocare le autorizzazioni per tutti i contratti sul protocollo. Per risolvere il problema è stato creato un elenco di contratti su GitHub che richiedono la revoca. Ore dopo l'incidente, Gray ha annunciato su Twitter che "gran parte dei fondi interessati" era stata recuperata attraverso un processo di sicurezza white hat.
Conclusione
Il recente bug su SushiSwap evidenzia le sfide alla sicurezza che devono affrontare lo spazio DeFi. Sebbene i protocolli DeFi offrano agli utenti la possibilità di fare trading senza intermediari, comportano anche rischi intrinseci per la sicurezza. Poiché lo spazio DeFi continua a crescere, è fondamentale che i protocolli implementino solide misure di sicurezza per proteggere i fondi degli utenti. Inoltre, è necessario mettere in atto quadri normativi per fornire agli utenti una maggiore protezione e garantire la fattibilità a lungo termine dello spazio DeFi