سوشی سواپ هک شد؛ دسترسی قراردادهای این پلتفرم را لغو کنید!

صرافی غیرمتمرکز سوشی سواپ (Sushiswap)‌ قربانی آسیب‌پذیری امنیتی شده است که منجر به از دست از رفتن سرمایه ۳.۳ میلیون دلاری یکی از کاربران آن به نام 0xSifu شده است.

به گزارش والکس و به نقل از TheBlock، آین آسیب‌پذیری مربوط به باگی در مرحله تایید قرارداد RouterProcessor2 این صرافی است؛ قراردادی که مدیر سوشی – جرد گری – توصیه کرده است تا هر چه سریع‌تر دسترسی به آن را در تمامی شبکه‌ها قطع نمایید.

دلیل این آسیب‌پذیری در تابع داخلی swap() نهفته است. این تابع در فراخوانی تابع swapUniV3() برای درج متغیر lastCalledPool، توجهی به تایید کاربر نمی‌کند و آن را دور می‌زند. این مساله به فردی تایید نشده این اجازه را می‌دهد تا بدون تایید صاحبان توکن، آن را انتقال دهد.

حمله نخست به صرافی سوشی سواپ که در طی آن ۱۰۰ اتریوم به سرقت رفت، به نظر می‌رسد که حمله‌ای کلاه‌سفیدانه باشد. اما پس از آن، هکر دیگری دست به کار شد و چیزی در حدود ۱۸۰۰ اتریوم را از همان قرارداد هوشمند به سرقت برد.

گزارش‌های اولیه نشان می‌دهد که تعداد زیادی از کاربران سوشی در معرض خطر نیستند. فردی با نام مستعار 0xngmi که از توسعه‌دهندگان ارشد پلتفرم دیفای لاماست، مدعی است که تنها کاربرانی که طی چهار روز گذشته در سوشی سواپ دست به معامله زده‌اند در معرض خطر قرار دارند. همچنین لیستی از قراردادهای هوشمند این پلتفرم در بلاکچین‌های مختلف منتشر شده است که کاربران باید هرچه سریع‌تر دسترسی آن‌ها به توکن‌های خود را لغو نمایند. همچنین ابزاری برای آزمودن آن که کیف پول شما در معرض خطر قرار دارد یا خیر، ساخته شده است.

کوین پنگ (Kevin Peng)، تحلیل‌گر سایت د بلاک، می‌گوید که تا کنون ۱۹۰ آدرس در شبکه اتریوم به قرارداد هوشمند دردسرساز تاییدیه داده‌اند. در سوی دیگر، بیش از ۲۰۰۰ آدرس در شبکه لایه دو آربیتروم قرارداد مذکور را تایید کرده‌اند.

قیمت سوشی (SUSHI) در ساعت اولیه پس از انتشار این خبر با کاهشی ۰.۶ درصدی روبرو شد.