El protocolo financiero descentralizado (DeFi), SushiSwap, también conocido por tener una función de intercambio entre cadenas, perdió 3,3 millones de dólares a manos de piratas informáticos el 19 de abril, debido a un error en su contrato inteligente, según la empresa de seguridad Blockchain Certik Alert.
Beware of an exploitable @SushiSwap RouteProcess02 contract which has been deployed to multiple chains.
Affected contract addresses:
ETH: 0x044b7
BSC: 0xd75f
POLY: 0x5097
AVAX: 0xbace
FTM: 0x3e60Revoke permissions from the above addresses to avoid risk.
— CertiK Alert (@CertiKAlert) April 9, 2023
Se supo que sólo los usuarios de criptomonedas que negociaron en la bolsa DeFi en los últimos cuatro días se vieron afectados negativamente.
Tanto Certik Alert como Peckshield informaron de actividad inusual sobre la función de aprobación en el contrato Router Processor 2 de Sushi, que es un contrato inteligente que facilita la liquidez comercial de múltiples fuentes.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
Sin embargo, el desarrollador anónimo de DefiLlama, 0xngmi, declaró: «El hackeo sólo afectó a los usuarios que intercambiaron el protocolo en los últimos cuatro días.»
only users impacted by sushiswap hack should be those that swapped on sushiswap in the last 4 days, if you did so revert approvals asap or move your funds in affected wallet to a new wallet
— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023
Mientras tanto, el desarrollador jefe de Sushi, Jared Grey, instó a los usuarios a revocar los permisos de todos los contratos en el protocolo, ya que los equipos de seguridad están trabajando rápidamente para mitigar el problema.
Sushi's RouteProcessor2 contract has an approval bug; please revoke approval ASAP. We're working with security teams to mitigate the issue. https://t.co/WhXJfa5xD4
— Jared Grey (@jaredgrey) April 9, 2023
Al parecer, ha sido un fin de semana duro para la comunidad Sushi, ya que los usuarios han huido en busca de la seguridad de sus fondos. Mientras tanto, el equipo de Sushi no lo ha tenido fácil en los últimos tiempos.
El 8 de abril, Grey y su abogado respondieron a la citación enviada a SushiSwap por la Comisión del Mercado de Valores de Estados Unidos (SEC), afirmando que nadie relacionado con Sushi ha infringido ninguna ley federal de seguridad estadounidense.
SushiSwap se recupera parcialmente del ataque
Es interesante señalar que los equipos de SushiSwap pudieron recuperar gran parte de los fondos tras el ataque del fallo.
El desarrollador jefe de Sushi, Jared Grey, confirmó que la mayoría de los fondos afectados en un proceso de seguridad whitehat han sido recuperados, instando a las personas que han participado en una recuperación whitehat a ponerse en contacto.
We've secured a large portion of affected funds in a whitehat security process. If you have performed a whitehat recovery please contact [email protected] for next steps.
— Jared Grey (@jaredgrey) April 9, 2023
Destacó además que se recuperaron 300 ETH específicamente de CoffeeBabe de los fondos robados de Sifu, y añadió que el equipo está en contacto con el equipo de Lido en lo que respecta al proceso de recuperación.
We've confirmed recovery of more than 300ETH from CoffeeBabe of Sifu's stolen funds. We're in contact with Lido's team regarding 700 more ETH.
— Jared Grey (@jaredgrey) April 9, 2023
Recordemos que directivos de DeFi hablaron recientemente en el World of Web3 (WOW), sobre la importancia de poner en marcha «Conozca a su cliente» (KYC), para abatir la piratería informática y el blanqueo de dinero.
En esta coyuntura, las conversaciones deben ir acompañadas de acciones. Hay una necesidad imperiosa de hacer frente a los crecientes ataques de DeFi en aras de la transparencia y el crecimiento.
