Un error en el contrato inteligente de SushiSwap derivó en la pérdida de fondos, aunque el intercambio ya ha recuperado parte del dinero.
***
- Un error en el contrato RouteProcess02 de SushiSwap fue explotado
- Al menos un usuario de SushiSwap perdió USD $3,3 millones en ETH
- El intercambio ha logrado recuperar parte de los fondos robados
El intercambio descentralizado (DEX), SushiSwap, ha sufrido un ataque de piratería que provocó la pérdida de poco más de USD $3,3 millones en Ether (ETH) de al menos un usuario.
Durante el fin de semana, la popular plataforma de finanzas descentralizadas (DeFi) sufrió una explotación en su contrato RouteProcess02, un contrato inteligente que agrega liquidez comercial de múltiples fuentes e identifica el precio más favorable para el intercambio de criptomonedas, según reportaron diversas firmas de seguridad Blockchain.
El equipo de PeckShield dijo que al menos una billetera fue objeto de un “error relacionado con la aprobación” en el contrato inteligente de SushiSwap para robar alrededor de 1.800 ETH (o cerca de USD $3.348.000 para el momento de edición). La billetera explotada pertenece a un miembro destacado de la comunidad cripto en Twitter conocido como Sifu,
La firma de seguridad de Blockchain explicó además que el contrato explotado fue “implementado en múltiples cadenas de bloques” y han recomendado a todos los usuarios revocar los permisos para todos los contratos en el protocolo.
“El contrato RouteProcessor2 de Sushi tiene un error de aprobación; revoque la aprobación lo antes posible“, instó en un tweet el desarrollador principal de SushiSwap, Jared Grey, tras confirmar el problema.
Sushi's RouteProcessor2 contract has an approval bug; please revoke approval ASAP. We're working with security teams to mitigate the issue. https://t.co/WhXJfa5xD4
— Jared Grey (@jaredgrey) April 9, 2023
Una falla en la validación de los permisos
En términos técnicos, la causa principal del incidente se debió a un problema en la función interna de swap(), que “llamará a swapUniV3() para establecer la variable “lastCalledPool” que se encuentra en la ranura de almacenamiento 0x00“, como detalló la firma de seguridad cibernética respaldada por Binance, Ancilia.
“Más adelante en la función swap3callback, se omite la verificación de permisos“, agregaron los investigadores. En términos sencillos, al aprobar el contrato defectuoso, los usuarios, sin saberlo, permiten que el explotador “enlace” y se apropie de sus tokens.
Es posible que Sifu no haya sido la única víctima, ya que un informe de Certik menciona que algunos usuarios de USDC también pueden haber sido afectados. Aunque otro informe señala que no muchos estarían en riesgo.
El desarrollador de DeFiLlama conocido como @0xngmi afirmó en un tweet que solo aquellos que intercambiaron en el DEX en los últimos cuatro días deberían verse afectados. También se publicó una lista de contratos en GitHub con todas las cadenas que deberían revocarse y se compartió una herramienta para verificar si alguna de sus direcciones se vio afectada.
El analista de investigación de bloques Kevin Peng explicó el domingo que 190 direcciones de Ethereum han aprobado el contrato problemático, según la cobertura de The Block. Sin embargo, más de 2.000 direcciones de Arbitrum, una red de capa 2 de Ethereum, aparentemente aprobaron el contrato defectuoso.
El contrato vulnerable también se implementa en Polygon, otra popular solución de capa 2 de Ethereum. La herramienta disponible sirve para verificar la exposición en otras redes como Ethereum, Avalange, Gnosis y Optimism, entre otras.
SushiSwap recupera parte de los fondos
El equipo de SushiSwap ha logrado recuperar una parte importante de los fondos robados a través de un proceso de seguridad de sombrero blanco (whitehat, en inglés, un término que hace referencia a un hacker ético).
“Hemos asegurado una gran parte de los fondos afectados en un proceso de seguridad whitehat”, dijo Gray el domingo por la mañana. El desarrollador confirmó después la recuperación de más de 300 ETH de los fondos robados a Sifu. “Estamos en contacto con el equipo de Lido con respecto a 700 ETH más”, agregó.
El CTO de SushiSwap, Matthew Lilley, hizo un seguimiento más tarde ese día y dijo que actualmente no hay problemas con el uso de la plataforma descentralizada de SushiSwap.
“No hay riesgo en este momento con el uso de Sushi Protocol y la interfaz de usuario. Toda la exposición a RouterProcessor2 se eliminó del front-end, y toda la actividad de LPing / intercambio actual es segura”, explicó el CTO. “Pedimos que todos los usuarios verifiquen dos veces sus aprobaciones, y si una dirección dentro de esta lista a continuación tiene una asignación para cualquiera de sus tokens, desaprobar lo antes posible“, agregó.
La noticia se produce poco después de que Gray revelara a la comunidad que el equipo de SushiSwap recibió una citación de la Comisión de Bolsa y Valores de EE. UU. (SEC). Gray propuso a la DAO un fondo para financiar la defensa legal.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.