El exchange descentralizado (DEX) SushiSwap es la última víctima de un exploit de DeFi que ocasionó por lo menos tres,3 millones de dólares americanos en pérdidas para un usuario.
La firma de seguridad blockchain Peckshield informó que el exploit fue ocasionado por un fallo relacionado con la aprobación en su contrato RouterProcessor2. Para eludir pérdidas, la firma aconsejó a los usuarios anular el permiso del contrato.
Peckshield añadió que el contrato explotado se incorporó en varias blockhains, incluidas Ethereum, BSC, Polygon, Fantom, Avalanche, etc.
SushiSwap confirma el exploit
El Head Chef de SushiSwap, Jared Grey, confirmó el accidente y aconsejó a los usuarios que revocaran todas y cada una los permisos. Agregó que el protocolo trabajaba con los equipos de seguridad para atenuar el inconveniente.
No se sabe cuántas personas se vieron perjudicadas por el hack. Pero Peckshield ha identificado por lo menos a un usuario: OxSifu. La popular personalidad de DeFi perdió en torno a uno con ochocientos ETH por un valor de tres,3 millones de dólares americanos en el exploit.
Un hacker de sombrero blanco que descubrió el fallo en un inicio tomó cien ETH del monedero OxSifu, seguramente para destacar el fallo. Pero otros de forma rápida incorporaron el contrato y empezaron a copiar el ataque. Otros usuarios asimismo han empezado a confirmar que perdieron sus fondos.
¿De qué forma se generó el exploit SushiSwap?
La firma de ciberseguridad Ancilla dio una explicación técnica de lo sucedido:
“La causa raíz es porque en la función interna swap(), llamará a swapUniV3() para establecer la variable “lastCalledPool” que se halla en el slot de almacenaje 0x00. Más adelante, en la función swap3callback, la verificación de permisos se omite”.
Según el desarrollador de DeFillama, 0xngmi, los usuarios que seguramente se van a ver perjudicados son los aprobados en SushiSwap a lo largo de las últimas dos semanas, ya que el contrato se ha incorporado en ciertas blockchains por hasta dos semanas. Por lo tanto, la resolución más segura sería anular todas y cada una de las aprobaciones.
Algunos desarrolladores asimismo han creado una herramienta que permite a los usuarios buscar sus direcciones y ver si se ven perjudicados.
Además, el exploit destaca los múltiples inconvenientes del ecosistema DeFi, aun en lo que ha sido un año parcialmente sosegado para hacks y exploits. Un usuario atrapó la frustración con un tweet que decía: “Honestamente, solo toma mis tokens. Esto es agotador.”
El costo de SUSHI se cae seis%
Tras la nueva del exploit, el token SUSHI ha caído un seis% en las últimas veinticuatro horas a ciento siete dólares americanos al instante de redactar este artículo, conforme datos de BeInCrypto.
A principios de semana, Gray señaló que el swap cross-chain del DEX (xSwap) experimentaba incrementos de volumen significativos.
BeInCrypto notificó que la organización autónoma descentralizada (DAO) de la plataforma DeFi fue atacada últimamente por la Comisión de Bolsa y Valores de los Estados Unidos (SEC).
Según el informe, la DAO está estableciendo un fondo de defensa legal para cubrir los costos legales de los primordiales impositores.