Un fallo en la aprobación de SushiSwap da lugar a un exploit de USD 3.3 millones

Un fallo en un contrato inteligente del protocolo de finanzas descentralizadas (DeFi) SushiSwap provocó más de 3 millones de dólares en pérdidas en las primeras horas del 9 de abril, según varios informes de seguridad en Twitter. 

Las empresas de seguridad Blockchain Certik Alert y Peckshield publicaron sobre una actividad inusual relacionada con la función de aprobación en el contrato Router Processor 2 de Sushi: un contrato inteligente que agrega liquidez comercial de múltiples fuentes e identifica el precio más favorable para el intercambio de monedas. En pocas horas, el fallo provocó pérdidas de 3.3 millones de dólares.

It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.

If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!

One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q

— PeckShield Inc. (@peckshield) April 9, 2023

Parece que el contacto @SushiSwap RouterProcessor2 tiene un error relacionado con la aprobación, lo que lleva a la pérdida de más de USD 3.3 millones (alrededor de 1800 eth) de @0xSifu.

¡Si has aprobado el contrato del enlace, por favor *REVOKE* tan rápido como sea posible!

Un ejemplo de hackeo en el enlace.

Según el desarrollador conocido por el seudónimo de DefiLlama, 0xngmi, el hackeo solo debería afectar a los usuarios que intercambiaron en el protocolo en los últimos cuatro días.

El desarrollador jefe de Sushi, Jared Grey, instó a los usuarios a revocar los permisos de todos los contratos del protocolo. “El contrato RouteProcessor2 de Sushi tiene un error de aprobación; por favor, revoca la aprobación lo antes posible. Estamos trabajando con los equipos de seguridad para mitigar el problema”, señaló. Se ha creado una lista de contratos en GitHub con diferentes blockchains que requieren revocación para solucionar el problema.

We’ve confirmed recovery of more than 300ETH from CoffeeBabe of Sifu’s stolen funds. We’re in contact with Lido’s team regarding 700 more ETH.

— Jared Grey (@jaredgrey) April 9, 2023

Hemos confirmado la recuperación de más de 300ETH de CoffeeBabe de los fondos robados de Sifu. Estamos en contacto con el equipo de Lido con respecto a 700 ETH más.

Horas después del incidente, Grey tomó Twitter para anunciar que una “gran parte de los fondos afectados” habían sido recuperados a través de un proceso de seguridad whitehat. “Hemos confirmado la recuperación de más de 300ETH de CoffeeBabe de los fondos robados de Sifu. Estamos en contacto con el equipo de Lido en relación a 700 ETH más”.

La comunidad de Sushi’s ha vivido un fin de semana intenso. El 8 de abril, Grey y su abogado hicieron comentarios sobre la reciente citación de la Comisión de Bolsa y Valores de Estados Unidos (SEC, por sus siglas en inglés).

“La investigación de la SEC es una indagación no pública que trata de determinar si ha habido alguna violación de las leyes federales sobre valores. Por lo que sabemos, la SEC no ha llegado (al momento de redactar este informe) a ninguna conclusión de que alguien afiliado a Sushi haya infringido las leyes federales sobre valores de Estados Unidos“, declaró.

Grey afirma estar cooperando con la investigación. El 21 de marzo se propuso en el foro de gobernanza de Sushi un fondo de defensa legal en respuesta a la citación.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo:  

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.