SushiSwap Hack'i: 3.3 Milyon Dolardan Fazla Kayıp

Merkezi olmayan bir borsa olan SushiSwap, son zamanlarda yaşanan bir açık nedeniyle en az bir kullanıcıya 3.3 milyon dolardan fazla zarar verdi.

Bu açık, RouterProcessor2 adlı bir sözleşmedeki onaylama hatasıyla ilgiliydi ve bu durum SushiSwap Baş Aşçısı Jared Gray'in tüm zincirlerdeki sözleşmenin iptal edilmesini önermesine neden oldu.

İlginizi Çekebilir: dYdX, Kanada’daki Faaliyetlerini Sonlandıracağını Duyurdu

Saldırının Detayları

Ancilia, Inc.'e göre yaşanan sorun, dahili swap() işlevindeki bir hatadan kaynaklanmaktadır. Bu işlev, swapUniV3() işlevini çağırarak "lastCalledPool" değişkenini 0x00 depolama yuvasına kaydeder.

Swap3callback işlevinde yapılan bir hata nedeniyle izin kontrolü atlanır ve yetkisiz bir varlık, sözleşmeyi bilmeden onaylama yapan kullanıcılardan belirteçleri çalabilir hale gelir.

Yani, temel neden, dahili swap() işlevindeki bir hatadır ve bu hatanın swapUniV3() işleviyle ilişkili olduğu belirtilmektedir. Bu hatanın sonucunda, kötü niyetli bir varlık, izinsiz olarak kullanıcılardan belirteçleri çalabilir hale gelmiştir.

SushiSwap yönlendirici sözleşmesindeki "onaylama" mekanizmasındaki bir hatadan kaynaklanan saldırı vektörü, istismarcılara belirteç sahiplerinin uygun onayı olmadan belirteçleri "yoklamak" için fırsat veriyor.

İlk saldırı, 100 ETH çalındıktan sonra gerçekleşti ve daha sonra başka bir bilgisayar korsanı da aynı sözleşmeyi kullanarak 1800 civarında ETH çalmayı başardı, ancak işlevin adını "notyoink" olarak değiştirdi.

SushiSwap yönlendirici sözleşmesindeki "onaylama" mekanizmasındaki bir hatadan kaynaklanan bu saldırı vektörü, izinsiz bir şekilde belirteçleri ele geçirmek için kullanılmıştır.

Kaç Kullanıcı Etkilendi?

İlk raporlara göre, SushiSwap kullanıcılarının çoğunun risk altında olmadığı ve yalnızca son dört gün içinde platformda takas yapanların etkilendiği görünüyor.

Blok Araştırma Analisti Kevin Peng, şimdiye kadar 190 Ethereum adresinin sorunlu sözleşmeyi onayladığını ortaya koyuyor. Layer 2 Arbitrum'da 2000'den fazla adres, kötü sözleşmeyi onayladığı görünüyor.

Bu nedenle, söz konusu hatanın sadece SushiSwap kullanıcılarının bir bölümünü etkilediği ve sorunlu sözleşmelerin farklı zincirlerde var olduğu belirtiliyor. Adreslerinizin etkilenip etkilenmediğini kontrol etmek için geliştirilen araçlar, kullanıcıların söz konusu saldırıdan etkilenip etkilenmediklerini kontrol etmelerine yardımcı olabilir.

SushiSwap Baş Şef Jared Gray'in Yanıtı:

Jared Gray, SushiSwap'in sorunları azaltmak için güvenlik ekipleriyle birlikte çalıştığını Twitter'da duyurdu.

Platformun ABD Menkul Kıymetler ve Borsa Komisyonu tarafından mahkeme celbi aldığını ve Sushi DAO'dan 3 milyon dolarlık bir yasal savunma fonu aradığını belirtti.

Bu fonun, platformun yasal savunmasına yardımcı olacağı ve SushiSwap'in güvenliği ve kullanıcılarının korunması için önemli bir adım olacağı düşünülüyor.