El exchange descentralizado (DEX) SushiSwap padeció un exploit que produjo la pérdida de por lo menos mil ochocientos ETH, lo que es equivalente a USD tres millones, pertenecientes al usuario que se identifica como 0xSifu en la red social Twitter.
El ataque fue dado a conocer por la firma de análisis blockchain PeckShield vía Twitter. “Parece que el contacto @SushiSwap RouterProcessor2 tiene un error relacionado con la aprobación, lo que conduce a la pérdida de >$3,3M (alrededor de 1.800 eth) de @0xSifu”, explicó.
Más usuarios de SushiSwap podrían haber sido perjudicados por el ataque, mas hasta el instante se ignora la cantidad de víctimas.
PeckShield hace un llamado a quienes hayan aprobado transacciones con la dirección de Ethereum comprometida, a que la anulen a la mayor brevedad. Junto al mensaje hay imágenes que muestran un caso del hackeo.
Sin embargo, el contrato RouteProcess02 que padeció el ataque, asimismo se ha implementado en múltiples redes como Binance Smart Chain (BSC), Polygon, Avalanche y FTM.
El autor de SushiSwap, Jared Gray, conocido como Chef Nomi, del mismo modo hizo un llamado a anular las direcciones implicadas. Adicionalmente, notificó que trabajan con un equipo de seguridad para atenuar los peligros.
La dirección en Ethereum fue reportada y advierte a los usuarios que ha sido “comprometida” y solicitan contrastar, como anular las aprobaciones de tokens de este contrato.
Cómo se ejecutó el ataque a SushiSwap
La firma de ciberseguridad Ancilia, explicó de forma técnica de qué forma y qué fue atacado con el exploit. “La causa se debe a que en la función interna swap (), llamará a swapUniV3 () para establecer la variable “lastCalledPool” que se halla en la ranura de almacenaje 0x00. Más adelante, en la función swap3callback, la verificación de permisos se omite”.
Esto quiere decir que, al aprobar el contrato perjudicial, los usuarios, sin saberlo, permiten que el explotador robe sus tokens.
No obstante, los perjudicados por el hackeo a SushiSwap fueron los que hicieron intercambios en los últimos cuatro días, por lo que debe revertir la transacción y desplazar los fondos a un nuevo monedero, comentó @0xngmi, de DefiLlama.
Un exploit es un género de malware que es usado para aprovechar una vulnerabilidad en un código para provocar un comportamiento involuntario o imprevisible. Como lo resalta la Criptopedia, sección educativa de CriptoNoticias, esta acción acostumbra a ser efectuada por un pirata informático, que descubre las vulnerabilidades de una computadora o un sistema.
Precisamente, el planeta de las criptomonedas ha sido uno de los blancos preferidos de los piratas informáticos, debido a la enorme cantidad de fondos difícilmente rastreables que se mueven a cargo de usuarios desprevenidos o empresas descuidadas.