Sushi reembolsará a las víctimas del hackeo
índice
Exchange que se distribuye SushiSwap restablecerá en breve los pagos a los usuarios después de que un contrato inteligente fallido causara más de 3,4 millones de dólares en pérdidas durante el fin de semana; no obstante, la mayoría de los activos robados no se han recuperado por el momento.
El martes, Sushi declaró que los activos de los usuarios por valor de 51.000 dólares que fueron asegurados por hackers de sombrero blanco pronto estarían disponibles para su reclamación. Los hackers de sombrero blanco aprovechan las vulnerabilidades de los programas informáticos para recuperar los fondos robados y cobrar recompensas.
Aunque el dinero robado por hackers malintencionados de «sombrero negro» ya no se puede recuperar, Sushi está trabajando en un proceso de reclamación para recompensar a los usuarios que se vieron afectados negativamente por la brecha. «Queremos devolver todos los fondos de los usuarios a los reclamantes legítimos», continuó Sushi.
El lunes, el «jefe de cocina» de Sushi, Jared Grey, recomendó a los usuarios recientes que revocaran su autorización para el contrato hackeado de RouteProcessor2 e indicó que los usuarios pueden volver a operar sin riesgo. Grey también afirmó que los usuarios pueden volver a operar sin riesgos.
La experiencia pone de relieve lo importante que es realizar transacciones en la cadena de forma segura. Incluso los protocolos más fiables y probados en batalla son susceptibles de sufrir abusos o de enviar código defectuoso.
Tras el exploit, el precio de SUSHI cayó más de un 5% antes de recuperarse.
Código defectuoso
PeckShield, una empresa de seguridad de blockchain, descubrió la vulnerabilidad el domingo. Su objetivo eran los contratos que se habían lanzado durante los diez días anteriores, dejando expuestas las carteras que acababan de dar permiso a Sushi para comerciar.
La vulnerabilidad se aprovechó de los puntos débiles del contrato RouteProcessor2 recién desplegado por Sushi, que los usuarios debían aprobar previamente antes de poder comerciar con tokens ERC-20. Debido a un error en el contrato, la «dirección de la piscina» fue capaz de robar moneda de comercio de los usuarios de Sushi que no eran conscientes del robo.
Sushi dijo: «Es probable que no estés expuesto si no has interactuado conmigo en los últimos diez días», y lo dijo en serio.
Grey hizo hincapié en que los proveedores de liquidez no se vieron afectados por el exploit, que, según dijo, afectó principalmente a los participantes recientes en el mercado de divisas.
Rescate de sombrero blanco
El hacker de sombrero blanco Trust, que utiliza un seudónimo, fue quien descubrió la vulnerabilidad. En relación con el fallo de seguridad, Trust se comunicó con Sushi. Tras esperar a Sushi durante varias horas, Trust decidió finalmente robar 100 ETH de una cartera comprometida para derrotar a los actores maliciosos.
Trust afirmó que los bots de Maximal Extractable Value (MEV) le robaron 3,4 millones de dólares en ETH antes de que pudiera guardar otros activos. Estas transacciones se duplicaron antes de que Trust pudiera salvar cualquier otro activo.
La visión de Sifu
PeckShield afirmó que 1.800 ETH (unos 3,4 millones de dólares) fueron robados de Sifu’s Vision, que es un colectivo de inversión dirigido por 0xSifu, que actualmente es asesor de Wonderland y anteriormente fue director financiero. Según un tuit enviado por Grey, «la mayor parte del valor teórico de los fondos explotados es de un usuario».
Los 100 ETH que se salvaron fueron entregados a 0xSifu a través de Trust.
A finales del año 2021, Wonderland experimentó un problema en su liderazgo, lo que llevó a su decisión de unirse a Frog Nation DeFi, una organización cuya misión era reformar y regular Sushi. El acuerdo quedó sin efecto tras descubrirse que 0xSifu era cofundador de QuadrigaCX. En enero, fue readmitido en el equipo tras recibir el 93% de los votos.
El domingo, Grey informó de que Sushi había logrado recuperar 300 ETH y estaba en comunicación con el validador de Ethereum y el servicio de apuestas líquidas Lido sobre la posibilidad de recuperar 700 ETH.
Forma parte de estos grupos: