ورود به صرافی

0

0

تاریخ بروز رسانی :

۲۱

فروردین

۱۴۰۲

سوشی سواپ هک شد!

صرافی غیرمتمرکز SushiSwap قربانی یک اکسپلویت شده که منجر به از دست رفتن دارایی به ارزش بیش از ۳ میلیون دلار از حداقل یک کاربر، معروف به ۰xSifu در توییتر شده است.

هک سوشی سواپ
هستی تاری

21

فروردین

1402

زمان مطالعه :

1 دقیقه

فهرست

Created with Sketch.

این هک به دلیل وجود باگی در قسمت تأییدیه قرارداد RouterProcessor2 صورت گرفته که PeckShield و توسعه‌دهنده اصلی SushiSwap، جرد گری (Jared Grey) توصیه می‌کنند این قرارداد باید در تمامی زنجیره‌ها لغو شود.

به گفته سرویس امنیت سایبری Ancilia و از نظر فنی، علت اصلی این هک «تابع داخلی ()swap است که با فراخوانی ()swapUniV3 می‌خواهد متغیرِ «lastCalledPool» را که در اسلات ذخیره‌سازی ۰x00 است، فعال کند؛ که پس از آن در تابع «swap3callback»، بررسی این مجوز دور زده می‌شود.

Yonik کردن یا نکردن؟

به عبارت دیگر، با تأیید این قرارداد باگ‌دار، کاربران ناآگاهانه به هکر اجازه می‌دهند توکن‌های آنها را به سرقت ببرند یا به اصطلاحی «yoink» کنند.

برد کی (Brad Kay)، تحلیلگر Block Research می‌گوید:

تابع «yoink» توسط مهاجم اول استفاده شد، که به دلیل وجود باگ در مکانیسم «تأیید» قرارداد روترِ سوشی سواپ بوده است. این باگ به یک نهاد غیرمجاز اجازه می‌دهد تا اساساً توکن‌ها را بدون تأیید معتبر از سوی مالک توکن، «yoink» کند.

وی در ادامه اظهار کرد:

پس از هک اول ۱۰۰ اتر (ETH) –که احتمالاً یک هکر کلاه سفید بوده- به نظر می‌رسد هکر دیگری آمده و با استفاده از همان قرارداد ۱۸۰۰ اتر (ETH) دیگر را به سرقت برده، اما نام تابع را عوض کرده و «notyoink» گذاشته است.

چه تعداد از کاربران سوشی سواپ در معرض این سرقت قرار گرفته‌اند؟

گزارش های اولیه ادعا می‌کنند در حال حاضر کاربران زیادی تحت‌تأثیر این هک قرار نگرفته‌اند.

به ادعای DeFi Llama’s @0xngmi تنها کسانی که در چهار روز گذشته در صرافی SushiSwap سواپ داشته‌اند احتمالاً در معرض این سرقت سایبری بوده‌اند. آنها همچنین لیستی از قراردادها را در تمام زنجیره‌هایی که باید لغو شوند منتشر کردند و ابزاری برای بررسی اینکه آیا هر یک از آدرس‌های مشتریان تحت‌تأثیر قرار گرفته یا خیر، ساختند.

کوین پنگ (Kevin Peng)، یکی دیگر از  تحلیلگران Block Research توضیح می‌دهد:

تا کنون ۱۹۰ آدرس اتریوم، با‌گ‌دار بودن این قرارداد را تأیید کرده‌اند. همینطور بیش از ۲۰۰۰ آدرس در شبکه لایه دو Arbitrum نیز ظاهراً معیوب بودن این قرارداد را تأیید کرده‌اند.

قیمت توکن حاکمیتی سوشی یک ساعت پس از انتشار این خبر، تنها ۰.۶٪ کاهش یافت.

گری -کسی که پس از اینکه سوشی با احضاریه کمیسیون بورس و اوراق بهادار ایالات متحده مواجه شده، در پی تشکیل صندوق دفاع مشروع ۳ میلیون دلاری است- در توییتی نوشت سوشی سواپ «در حال حاضر در حال همکاری با تیم‌های امنیتی برای برطرف کردن این مشکل است.»

0
اشتراک در
اطلاع از
guest
0 تمام دیدگاه‌ها
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها

چنانچه به مشاوره رایگان علاقه‌مندید، پرسش‌ها و نظرات خود را درباره این مقاله یا موضوعات مختلف حوزه بلاکچین و ارزهای دیجیتال مطرح کنید. برای پاسخگویی آماده‌ایم!

نظر بدهید

نظرات پست (0)