Nhà phát triển DEFISushiSwap phủ nhận các cáo buộc về lỗi ‘tỷ đô la’

Một báo cáo về lỗ hổng SushiSwap được xuất bản bởi một hacker mũ trắng ẩn danh đã bị các nhà phát triển đằng sau sàn giao dịch phi tập trung phổ biến từ chối.

Tin tặc và các lỗ hổng bị cáo buộc của anh ta trong mạng của SushiSwap lần đầu tiên được đưa ra ánh sáng thông qua các báo cáo truyền thông. Đồng thời, tin tặc tuyên bố người dùng có thể chịu thiệt hại về số tiền trị giá hơn 1 tỷ đô la do những mối đe dọa này.

Tin tặc cũng thừa nhận chỉ công khai thông tin sau khi nỗ lực đưa thông tin này đến sự chú ý của các nhà phát triển SushiSwap một cách bí mật mà không dẫn đến bất kỳ hành động nào.

Trong báo cáo, tin tặc tuyên bố đã tìm thấy "lỗ hổng trong chức năng Rút tiền khẩn cấp trong hai hợp đồng của SushiSwap, MasterChefV2 và MiniChefV2." Các hợp đồng này chi phối các trang trại và nhóm phần thưởng gấp đôi của sàn giao dịch trên các chuỗi phụ không phải Ethereum như Binance Smart Chain, Polygon, Fantom, Avalanche, v.v.

Chức năng Rút tiền khẩn cấp cung cấp một mạng lưới an toàn cho người dùng sử dụng dịch vụ DeFi, về cơ bản cho phép họ rút ngay các mã thông báo Nhà cung cấp Thanh khoản (LP) của họ trong trường hợp khẩn cấp mà không mất bất kỳ phần thưởng nào kiếm được cho đến thời điểm đó.

Theo tin tặc, tính năng này gây hiểu nhầm vì nó sẽ không hoạt động như dự kiến ​​nếu không có phần thưởng nào được giữ trong nhóm SushiSwap.

Nếu phần thưởng trong nhóm cạn kiệt, nhóm của dự án phải lấp đầy chúng theo cách thủ công bằng cách sử dụng tài khoản đa chữ ký trong khi thường hoạt động từ các múi giờ rất khác nhau. Tin tặc tin rằng điều này có thể dẫn đến thời gian chờ đợi lâu hơn 10 giờ, trước khi mã thông báo có thể được rút. Bản báo cáo được xây dựng chi tiết hơn,

“Có thể mất khoảng 10 giờ để tất cả những người có chữ ký đồng ý nạp tiền vào tài khoản phần thưởng và một số phần thưởng trống nhiều lần trong tháng. Các đợt triển khai không phải Ethereum của SushiSwap và phần thưởng gấp đôi (tất cả đều sử dụng các hợp đồng MiniChefV2 và MasterChefV2 dễ bị tổn thương) có tổng giá trị hơn 1 tỷ đô la. Điều này có nghĩa là giá trị này về cơ bản là không thể chạm tới trong 10 giờ nhiều lần trong tháng ”.

Tuy nhiên, các nhà phát triển của nền tảng hiện đã làm rõ. Mudit Gupta, “Shadowy Super Coder” của nền tảng đã lên Twitter để nhấn mạnh rằng bản thân mối đe dọa “không phải là một lỗ hổng”, nói thêm rằng “không có quỹ nào có nguy cơ bị rủi ro”.

Nhà phát triển tuyên bố rằng trái với tuyên bố của tin tặc, "bất kỳ ai" có thể bổ sung nhóm này trong trường hợp khẩn cấp. Điều này làm cho quá trình 10 giờ nhiều chữ ký được hacker giải thích là không liên quan. Gupta bổ sung thêm,

“Tuyên bố của tin tặc rằng ai đó có thể đặt nhiều lp để rút phần thưởng nhanh hơn là không chính xác. Phần thưởng cho mỗi LP sẽ giảm xuống nếu bạn thêm nhiều LP hơn. ”

Trong mọi trường hợp, mục đích của tin tặc dường như là “giáo dục người dùng SushiSwap hiện tại và tương lai về những rủi ro mà họ đang phải chịu bằng cách tin tưởng vào những hợp đồng dễ bị tấn công này […].” Trên thực tế, hacker mũ trắng cũng cáo buộc SushiSwap đã xử lý vấn đề trước họ một cách quá tình cờ.

"Vấn đề" lần đầu tiên được đưa ra thông qua chương trình tiền thưởng lỗi của nền tảng, Immunefi. Đồng thời, SushiSwap đang đề nghị trả phần thưởng lên tới 40.000 đô la cho những người dùng báo cáo các lỗ hổng rủi ro trong mã của họ.

Tuy nhiên, vấn đề đã được đóng lại trên Immunefi mà không được bồi thường.

Disclaimer: Bài viết chỉ nhằm mục đích cung cấp thông tin và không được coi là lời khuyên đầu tư. Đầu tư Crypto là một hình thức đầu tư mạo hiểm và người tham gia phải chịu hoàn toàn trách nhiệm với khoản đầu tư của mình. 

Follow us: Fanpage | Group FB | Group chat | Channel Analytics | Channel NFT Youtube