인기 분산형 거래소 SushiSwap의 개발자는 화이트 해커가 스마트 계약을 스누핑하고 있다고 보고된 취약점을 거부했습니다.
언론 보도에 따르면 해커는 주장 1억 달러 이상의 사용자 자금을 위협에 빠뜨릴 수 있는 취약점을 식별했으며, SushiSwap 개발자에게 연락하려는 시도가 아무런 조치도 취하지 않은 후 해당 정보를 공개했다고 밝혔습니다.
해커는 SushiSwap의 두 계약인 MasterChefV2 및 MiniChefV2에서 "emergencyWithdraw 기능 내의 취약점"을 식별했다고 주장합니다. 이는 거래소의 2x 보상 농장과 풀을 관리하는 계약입니다. SushiSwap의 비이더리움 배포 Polygon, Binance Smart Chain 및 Avalanche와 같은.
EmergencyWithdraw 기능을 사용하면 유동성 공급자가 긴급 상황 발생 시 보상을 상실하면서 즉시 LP 토큰을 청구할 수 있지만, 해커는 SushiSwap 풀 내에 보상이 없으면 이 기능이 실패할 것이라고 주장하여 유동성 공급자가 풀이 될 때까지 기다려야 합니다. 토큰을 인출하기 전에 약 10시간 동안 수동으로 재충전해야 합니다.
해커는 “모든 서명 보유자가 보상 계정 재충전에 동의하는 데 약 10시간이 걸릴 수 있으며 일부 보상 풀은 한 달에 여러 번 비어 있습니다”라고 덧붙였습니다.
“SushiSwap의 비이더리움 배포와 2배 보상(모두 취약한 MiniChefV2 및 MasterChefV2 계약 사용)의 총 가치는 1억 달러가 넘습니다. 이는 이 값이 한 달에 여러 번 10시간 동안 본질적으로 건드릴 수 없다는 것을 의미합니다.”
그러나 SushiSwap의 가명 개발자는 트위터를 통해 해당 플랫폼의 "Shadowy Super Coder Mudit Gupta"가 설명된 위협은 "취약점이 아니며" "위험에 처한 자금은 없다"고 강조하면서 이러한 주장을 거부했습니다.
굽타 명확히 한 해커가 보상 풀을 보충하는 데 필요하다고 주장한 10시간 다중 서명 프로세스의 대부분을 우회하여 "누구나" 비상 시 풀의 보상을 채울 수 있다는 것입니다. 그들은 다음과 같이 덧붙였습니다:
“누군가가 보상을 더 빨리 소모시키기 위해 많은 양의 lp를 넣을 수 있다는 해커의 주장은 잘못된 것입니다. LP를 더 추가하면 LP당 보상이 줄어듭니다.”
관련 : SushiSwap의 토큰 런치패드 MISO, 3만 달러 해킹
해커는 SushiSwap이 코드의 위험한 취약점을 보고한 사용자에게 최대 40,000달러의 보상금을 제공하는 버그 바운티 플랫폼 Immunefi에 취약점을 보고하라는 지시를 받았다고 말했습니다.
그들은 이 문제가 Immunefi에서 보상 없이 종료되었으며 SushiSwap은 설명된 문제를 알고 있다고 밝혔습니다.
출처: https://cointelegraph.com/news/sushiswap-denies-reports-of-billion-dollar-bug