Uma falha crítica de segurança foi encontrada na plataforma de criptomoedas SushiSwap, identificada pela empresa de segurança PeckShield neste final de semana. A vulnerabilidade envolve o contrato ‘RouterProcessor2’, utilizado para roteamento na SushiSwap.
Segundo a empresa de segurança, a falha no contrato resultou na perda de mais de US$ 3,3 milhões (cerca de 1800 ETH) de um único usuário identificado como 0xsifu.
“Parece que o contato da SushiSwap RouterProcessor2 tem um bug relacionado à aprovação, que levou à perda de mais de US$ 3,3 milhões do usuário 0xSifu”, disse a PeckShield no Twitter.
O bug está relacionado à função de verificar as permissões disponíveis para acessar carteiras de criptomoedas. O problema de segurança permitiu que o invasor retirasse moedas de cofres pertencentes aos usuários.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
O SushiSwap Router Processor é um contrato inteligente alimentado pela blockchain Ethereum. Sua função principal é identificar o método ideal para trocar um tipo de criptomoeda por outra. Ele consegue isso direcionando as negociações por meio de uma série de pools de liquidez para obter o preço mais favorável para a transação.
Revoguem suas permissões
O desenvolvedor-chefe da SushiSwap, Jared Gray, confirmou a falha e pediu aos usuários que revoguem as permissões para todos os contratos na plataforma.
“Os esforços de recuperação estão em andamento”, disse Jared Gray, citando um tweet da MetaSleuth que forneceu uma análise dos fundos roubados.
Recovery efforts are underway:https://t.co/TxpxyJ4Uhj
— Jared Grey (@jaredgrey) April 9, 2023
A falha parece ter afetado usuários que aprovaram contratos da SushiSwap nos últimos quatro dias. As equipes de segurança estão trabalhando para mitigar o problema e rastrear os fundos roubados, com a participação da BlockSecTeam nos esforços de recuperação.
Enquanto isso, os usuários da plataforma DeFi estão sendo orientados a revogar as permissões de todos os contratos da SushiSwap para proteger seus ativos.
Um desenvolvedor da DefiLlama disse que o exploit pareceu impactar apenas os usuários que aprovaram contratos na Sushiswap nos últimos 4 dias.
“Os usuários afetados pelo hack da sushiswap são apenas aqueles que usaram a plataforma nos últimos 4 dias, se você fez isso, reverta as aprovações o mais rápido possível ou mova seus fundos na carteira afetada para uma nova carteira”, disse.
Se você é usuário da SushiSwap, veja aqui a lista de contratos que exigem revogação imediata.
only users impacted by sushiswap hack should be those that swapped on sushiswap in the last 4 days, if you did so revert approvals asap or move your funds in affected wallet to a new wallet
— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023
O incidente fez o preço do token Sushi cair quase 5% em 24 horas, sendo negociado atualmente em cerca de US$ 1,03.
A revelação da falha de segurança ocorre poucos dias após o CEO da Sushi anunciar o lançamento da SushiSwap V3.
Em um post recente, ele mencionou que o V3 já havia obtido um valor significativo Total Value Locked (TVL) e sugeriu uma data de lançamento planejada para a semana seguinte. No entanto, resta saber se os eventos recentes afetarão essa linha do tempo.
