El exchange descentralizado (DEX) SushiSwap es la última víctima de un exploit de DeFi que causó al menos 3,3 millones de dólares en pérdidas para un usuario.
La firma de seguridad blockchain Peckshield informó que el exploit fue causado por un error relacionado con la aprobación en su contrato RouterProcessor2. Para evitar pérdidas, la firma recomendó a los usuarios revocar el permiso del contrato.
Peckshield agregó que el contrato explotado se implementó en varias blockhains, incluidas Ethereum, BSC, Polygon, Fantom, Avalanche, etc.
SushiSwap confirma el exploit
El Head Chef de SushiSwap, Jared Grey, confirmó el incidente y aconsejó a los usuarios que revocaran todas los permisos. Agregó que el protocolo estaba trabajando con los equipos de seguridad para mitigar el problema.
No se sabe cuántas personas se vieron afectadas por el hack. Pero Peckshield ha identificado al menos a un usuario: OxSifu. La popular personalidad de DeFi perdió alrededor de 1,800 ETH por valor de 3,3 millones de dólares en el exploit.
Un hacker de sombrero blanco que descubrió el error inicialmente tomó 100 ETH del monedero OxSifu, probablemente para resaltar el error. Pero otros rápidamente implementaron el contrato y comenzaron a copiar el ataque. Otros usuarios también han comenzado a confirmar que perdieron sus fondos.
¿Cómo se produjo el exploit SushiSwap?
La firma de ciberseguridad Ancilla dio una explicación técnica de lo sucedido:
“La causa raíz es porque en la función interna swap(), llamará a swapUniV3() para establecer la variable “lastCalledPool” que se encuentra en el slot de almacenamiento 0x00. Más adelante, en la función swap3callback, la verificación de permisos se omite”.
Según el desarrollador de DeFillama, 0xngmi, los usuarios que probablemente se verán afectados son los aprobados en SushiSwap durante las últimas dos semanas, ya que el contrato se ha implementado en algunas blockchains por hasta 2 semanas. Por lo tanto, la decisión más segura sería revocar todas las aprobaciones.
Algunos desarrolladores también han creado una herramienta que permite a los usuarios buscar sus direcciones y ver si se ven afectados.
Además, el exploit destaca los múltiples problemas del ecosistema DeFi, incluso en lo que ha sido un año relativamente tranquilo para hacks y exploits. Un usuario capturó la frustración con un tweet que decía: “Honestamente, solo toma mis tokens. Esto es agotador.”
El precio de SUSHI se desploma 6%
Tras la noticia del exploit, el token SUSHI ha caído un 6% en las últimas 24 horas a 1.07 dólares al momento de escribir este artículo, según datos de BeInCrypto.
A principios de semana, Gray señaló que el swap cross-chain del DEX (xSwap) estaba experimentando aumentos de volumen significativos.
BeInCrypto informó que la organización autónoma descentralizada (DAO) de la plataforma DeFi fue atacada recientemente por la Comisión de Bolsa y Valores de los Estados Unidos (SEC).
Según el informe, la DAO está estableciendo un fondo de defensa legal para cubrir los costos legales de los principales contribuyentes.
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.