Sushi 计划补偿 340 万美元漏洞的受害者
去中心化交易所 SushiSwap 将在周末因错误的智能合约造成超过 340 万美元的损失后很快开始向用户返还资金,但大部分被盗资产尚未追回。
周二,Sushi表示,白帽黑客保护的价值约51,000 美元的用户资产很快就会被收回。白帽黑客利用代码漏洞来保护有被盗风险的资金,通常会获得赏金以换取他们的回报。
Sushi 表示,虽然被恶意“黑帽”黑客窃取的资金无法追回,但它正在制定索赔程序,以使受影响的用户完整无缺。“我们的目标是将所有用户资金返还给合法的索赔人,”Sushi 说。
周一,Sushi 的“主厨”Jared Grey 在推特上表示,用户可以再次安全地在 Sushi 上进行交易,并敦促最近的用户撤销对被利用的 RouteProcessor2 合约的批准。
该事件凸显了在链上交易时保持严格安全措施的重要性。在社区中受信任并经过时间考验的协议仍然可能遭受攻击或发布错误代码。
SUSHI 在漏洞利用后下跌了 5% 以上,但后来又恢复了。
狡猾的代码
区块链安全公司 PeckShield在周日发现了这一漏洞。它针对的是前十天部署的合约,使最近批准 Sushi 执行交易的钱包容易受到攻击。
该漏洞利用了 Sushi 最近部署的 RouteProcessor2 合约中的漏洞,用户需要预先批准才能在平台上交易 ERC-20 代币。然而,合约错误地允许“池地址”消耗毫无戒心的 Sushi 用户批准用于交易的资金。
“如果你在过去十天内没有与 Sushi 互动,你可能没有曝光,因为被利用的合同还不到十天,”Sushi 说。
格雷表示,只有最近在交易所交易资产的用户才会受到该漏洞的影响,并强调流动性提供者不受影响。
白帽救援
Trust 是一位化名的白帽黑客,他是第一个发现该漏洞的人。Trust 试图就该漏洞联系 Sushi 团队。在几个小时都没有收到 Sushi 的消息后,Trust 试图利用这一漏洞来击败恶意行为者,从受感染的钱包中窃取100 ETH。
然而,Trust表示,编程为参与最大可提取价值 ( MEV ) 的机器人在他能够挽救任何其他资产之前迅速复制了他的交易,并在此过程中窃取了价值 340 万美元的 ETH。
师傅的愿景
PeckShield 指出,由 Wonderland 现任顾问兼前首席财务官 0xSifu 管理的投资集体 Sifu's Vision 控制的一个钱包占被盗资金的大部分,损失了 1,800 ETH(340 万美元)。格雷在推特上证实了这一消息,称“被剥削资金的大部分名义价值来自一个用户。”
Trust将获救的 100 ETH返还给 0xSifu。
Wonderland 是 Frog Nation DeFi 团体的成员,该团体在 2021 年底的混乱领导危机后试图重组并控制 Sushi。然而,在 0xSifu 作为失败的加拿大公司的联合创始人之一被曝光后,这笔交易破裂了交易所,QuadrigaCX。他在戏剧性事件中被选出该项目,但在动员了 93% 的选票后,于今年 1 月在治理投票中恢复了职务。
周日,Gray 表示 Sushi 已经收回了300 ETH,并且正在与以太坊验证器和流动性质押提供商 Lido 就收回额外的 700 ETH 进行谈判。
在加密行业你想抓住下一波牛市机会你得有一个优质圈子,大家就能抱团取暖,保持洞察力。如果只是你一个人,四顾茫然,发现一个人都没有,想在这个行业里面坚持下来其实是很难的。
想抱团取暖,或者有疑惑的,欢迎加入我们-----公众号:佩佩梭哈
感谢阅读,我们下期再见!
