資訊
    首頁   >     原創    >     正文

    SushiSwap 開發人員不同意黑客的“十億美元”漏洞發現

    摘要:由匿名白帽黑客發布的 SushiSwap 漏洞報告已被流行的去中心化交易所背後的開發人員拒絕。

      由匿名白帽黑客發布的 SushiSwap 漏洞報告已被流行的去中心化交易所背後的開發人員拒絕。

      黑客和他在 SushiSwap 網絡中的所謂漏洞首先是通過媒體報道曝光的。 同時,黑客聲稱用戶可能會因這些威脅而遭受價值超過 10 億美元的資金損失。

      黑客還承認僅在試圖以保密方式提請 SushiSwap 開發人員注意此信息並沒有採取任何行動後才將信息公之於衆。

      在報告中,黑客聲稱在 SushiSwap 的兩個合約 MasterChefV2 和 MiniChefV2 中發現了“emergencyWithdraw 功能中的漏洞”。 這些合約管理交易所在非以太坊側鏈上的 2x 獎勵農場和礦池,例如 幣安智能鏈、Polygon、Fantom、Avalanche 等。

      EmergencyWithdraw 功能爲使用 DeFi 服務的用戶提供了一個安全網,基本上允許他們在緊急情況下立即提取其流動性提供者 (LP) 代幣,同時沒收在那之前獲得的任何獎勵。

      根據黑客的說法,此功能具有誤導性,因爲如果 SushiSwap 礦池中沒有獎勵,它就不會按預期工作。

      如果獎礦池中的獎勵枯竭,則必須由項目團隊使用多重籤名帳戶手動填充,同時通常在截然不同的時區進行操作。 黑客認爲,這可能導致等待時間超過 10 個小時,然後才能撤回代幣。

      但是,該平臺的開發人員現在已經澄清了。 該平臺的“Shadowy Super Coder” Mudit Gupta 在 Twitter 上強調,威脅本身“不是漏洞”,並補充說“沒有資金面臨風險”。

      開發人員聲稱,與黑客的說法相反,如果出現緊急情況,“任何人”都可以爲該礦池充值。 這使得黑客解釋的 10 小時多重籤名過程變得無關緊要。

      無論如何,黑客的意圖似乎是“通過信任這些易受攻擊的合約來教育當前和未來的 SushiSwap 用戶他們所承擔的風險”。 […]。 事實上,白帽黑客還指責 SushiSwap 處理他們面前的事情太隨便了。

      “問題”首先是通過平臺的漏洞賞金計劃 Immunefi 提出的。 同樣,SushiSwap 向報告其代碼中存在風險漏洞的用戶提供高達 40,000 美元的獎勵。

      然而,這個問題在 Immunefi 上沒有得到補償。