SushiSwap漏洞遭駭1.5萬美金,核心人員:攻擊者已回覆,用戶無需承擔損失

Jim
分享
SushiSwap漏洞遭駭1.5萬美金,核心人員:攻擊者已回覆,用戶無需承擔損失

DeFi 兌幣平台 SushiSwap 昨晚因智能合約中存在漏洞而損失近 1.5 萬美金,而團隊開發人員稱得上反應迅速,核心成員 0xMaki 已聯手開發人員修復漏洞,並將再次交由區塊鏈安全機構 Peckshield 審查其更新代碼。

Sushibar 漏洞連連

實際上 0xMaki 在先前已經注意到平台上存在微量詭異的交易,但到了昨天,這些交易突然轉變為工業級別的自動化交易,並自 Sushibar 0.05% 的手續費中獲取約 1.5 萬美金,而在 0xMaki 著手處理之際,網友 JuanSnow 發現了 0xMaki 試圖與攻擊者聯繫的交易訊息,並在推特發佈後事情才曝光。

0xMaki:發現你了,我們正努力修復,與我聯繫領取漏洞賞金(Source:etherscan)

0xMaki 在晚間發現漏洞後,立即聯絡了 yEarn 開發成員 Andy 以及 Coinbase 前智能合約工程師 Daniel Que 一同協助,並在經歷了四個小時後釐清了攻擊者是如何利用漏洞,並對此進行修復。Andy 指出:

攻擊者透過包裝的流動性代幣(LP-xSushi)將其部署到新資金池,攻擊者因而能以「詭異的邏輯」自手續費獎勵中提取代幣。

0xMaki 也在推特感謝兩位開發人員的協助,並強調 LP-xSushi 的持有者非常安全,

而 0xMaki 今早也收到攻擊者的回覆,他看到了 0xMaki 試圖與其聯繫的訊息,並表示:

我以為自己找到了一種聰明的方式能從舊合約中賺取一些 LP 代幣,我不清楚這個合約是幹嘛的,甚至不知道這是個漏洞,我對此感到非常抱歉。

(Source:@ 0xMaki)

據了解,攻擊者無需歸還資金,損失資金會歸類為漏洞賞金,而 0xMaki 強調不會有任何用戶承擔損失,因為該筆資金原本是 LP 代幣 xSushi 持有者的獎勵,之後將由官方負擔等值的 Sushi 代幣並按比例分配給用戶。

Sushi 表現回春

在 DeFi 挖礦熱潮結束後,DeFi 系列幣種皆迎來中大跌幅,先前的高利率也不復見,但在近期比特幣的領漲下,表修都有所回升,Sushi 也未受此次漏洞事件影響,價格自 26 日的 1.04 上漲至截稿前的 1.53 美金,24 小時漲幅達 10.34%。

而先前 Uniswap 創世挖礦結束曾為 SushiSwap 的流動性帶來利好,一度突破 10 億美金,目前為 7.05 億美金。但更有趣的是 Uniswap,在沒有挖礦獎勵的情況下,流動性仍有 16.9 億美金,已經是沒有獎勵時期的五倍之多,第二期的挖礦提案則還在投票進行中。

(Source:sushiswap)