SushiSwap bị hack, thiệt hại 3,3 triệu USD do lỗi phê duyệt
Vào rạng sáng ngày 9 tháng 4, một lỗi trong hợp đồng thông minh trên giao thức tài chính phi tập trung (DeFi) SushiSwap đã gây ra thiệt hại hơn 3 triệu USD, theo báo cáo bảo mật trên Twitter từ các công ty bảo mật blockchain CertiK Alert và Peckshield.
Chức năng phê duyệt trong Router Processor 2 contract của Sushi – một hợp đồng thông minh tổng hợp tính thanh khoản giao dịch từ nhiều nguồn và xác định mức giá thuận lợi nhất để hoán đổi coin, dường như là trung tâm của hoạt động bất thường. Việc khai thác đã gây ra thiệt hại khoảng 3,3 triệu đô la Mỹ chỉ trong vòng vài giờ.
Nhà phát triển có biệt danh DefiLlama 0xngmi lưu ý rằng chỉ những người dùng đã swap trên giao thức trong bốn ngày qua mới bị ảnh hưởng bởi vụ hack.
Nhà phát triển chính của Sushi (head chef), Jared Grey, kêu gọi người dùng thu hồi quyền đối với tất cả các hợp đồng trên giao thức: “Hợp đồng Route Processor 2 của Sushi có lỗi phê duyệt, vui lòng thu hồi phê duyệt càng sớm càng tốt. Chúng tôi đang làm việc với các nhóm bảo mật để giảm thiểu sự cố”. Một danh sách các hợp đồng trên GitHub với các blockchain khác nhau yêu cầu thu hồi đã được tạo ngay lập tức để giải quyết vấn đề.
Sàn giao dịch phi tập trung (DEX) đã cách mạng hóa cách mọi người giao dịch tiền mã hoá, cho phép giao dịch ngang hàng mà không cần trung gian như ngân hàng hoặc sàn giao dịch tập trung. Tuy nhiên, DEX không phải không có rủi ro và một trong những mối quan tâm chính là tính dễ bị tổn thương của hợp đồng thông minh, điều chỉnh các giao dịch trong các sàn giao dịch này.
Hợp đồng thông minh là hợp đồng tự thực hiện với các điều khoản của thỏa thuận được ghi trực tiếp vào mã. Chúng được thiết kế để tự động thực hiện, kiểm soát hoặc ghi lại các sự kiện và hành động theo các điều khoản của hợp đồng. Mặc dù các hợp đồng thông minh nhằm mục đích tăng cường tính minh bạch, hiệu quả và độ tin cậy, nhưng bản chất phức tạp và sự phụ thuộc vào mã của chúng có thể dẫn đến các lỗ hổng.
Vài giờ sau vụ việc, Gray đã thông báo qua Twitter rằng “một phần lớn số tiền bị ảnh hưởng” đã được phục hồi thông qua quy trình bảo mật white hat. Gray đã xác nhận việc thu hồi hơn 300 ETH từ số tiền bị đánh cắp của CoffeeBabe of Sifu và đề cập đến việc liên hệ với nhóm của Lido để có thể thu hồi thêm 700 ETH.
Vụ việc này xảy ra sau một ngày cuối tuần căng thẳng đối với cộng đồng Sushi, khi Gray và cố vấn của anh ấy đưa ra nhận xét về trát đòi hầu tòa gần đây của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) vào ngày 8 tháng 4. Trát hầu tòa đã được chuyển giao vào ngày 21 tháng 3.
“Cuộc điều tra của SEC là một cuộc điều tra tìm hiểu thực tế, không công khai nhằm cố gắng xác định xem có bất kỳ vi phạm nào đối với luật chứng khoán liên bang hay không.
Vào ngày 27 tháng 10, SushiSwap đã cơ cấu lại DAO của mình để tránh những rắc rối pháp lý. Trong khi chờ đợi các cuộc điều tra với SEC, Gray tuyên bố sẽ hợp tác với cuộc điều tra và một quỹ bảo vệ pháp lý để đáp lại trát đòi hầu tòa đã được đề xuất trên diễn đàn quản trị của Sushi.
Coinvn tổng hợp
