SushiSwapdevはハッカーの「10億ドル」のバグ発見に同意しません

SushiSwapの脆弱性レポート 公開 匿名のホワイトハットハッカーによって、人気のある分散型取引所の背後にいる開発者によって拒否されました。

SushiSwapのネットワーク内のハッカーと彼の疑惑の脆弱性は、メディアの報道を通じて最初に明らかになりました。 同じように、ハッカーは、ユーザーがこれらの脅威のために10億ドルを超える価値のある資金の損失に耐えることができると主張しました。

ハッカーはまた、SushiSwapの開発者にこれを秘密裏に知らせようとしたが何の行動も起こさなかった後にのみ、情報を公開することを認めました。

レポートでは、ハッカーは「SushiSwapの2つの契約、MasterChefV2とMiniChefV2のemergencyWithdraw関数内の脆弱性」を発見したと主張しました。 これらの契約は、取引所の2倍の報酬ファームと非イーサリアム などのサイドチェーン Binance スマートチェーン、 ポリゴン、Fantom、Avalancheなど。

EmergencyWithdraw機能は、DeFiサービスを使用するユーザーにセーフティネットを提供し、基本的に、緊急時にその時点までに獲得した報酬を失いながら、流動性プロバイダー（LP）トークンを即座に引き出すことができます。

ハッカーによると、SushiSwapプール内に報酬が保持されていない場合、この機能は意図したとおりに機能しないため、誤解を招く可能性があります。

プール内の報酬が枯渇した場合は、プロジェクトのチームがマルチシグニチャアカウントを使用して手動で入力する必要がありますが、多くの場合、非常に異なるタイムゾーンで操作します。 ハッカーは、これにより、トークンが引き出されるまでに10時間以上の待機時間が発生する可能性があると考えています。 レポートはさらに詳しく説明しました、

「すべての署名所有者がリワードアカウントの補充に同意するまでに約10時間かかる場合があり、一部のリワードプールは月に数回空になります。 SushiSwapの非イーサリアム展開と2倍の報酬（すべて脆弱なMiniChefV2およびMasterChefV2契約を使用）は、合計で10億ドル以上の価値を保持しています。 これは、この値が月に数回10時間は本質的に触れられないことを意味します。」

ただし、プラットフォームの開発者は現在、 明確化。 プラットフォームの「ShadowySuperCoder」であるMuditGuptaはTwitterを利用して、脅威自体は「脆弱性ではない」と強調し、「資金は危険にさらされていない」と付け加えました。

開発者は、ハッカーの主張に反して、緊急事態が発生した場合に備えて、「誰でも」プールを補充できると主張しました。 これにより、ハッカーが説明した10時間のマルチシグニチャプロセスは無関係になります。 グプタはさらに付け加えた、

「誰かが報酬をより早く排出するために多くのlpを入れることができるというハッカーの主張は正しくありません。 LPを追加すると、LPあたりの報酬が下がります。」

いずれにせよ、ハッカーの意図は、「これらの脆弱な契約を信頼することによって、現在および将来のSushiSwapユーザーに彼らがとっているリスクを教育することだったようです。 […]。」 実際、ホワイトハットのハッカーは、SushiSwapが彼らの前であまりにもカジュアルに問題を処理したと非難しました。

「問題」は、プラットフォームのバグ報奨金プログラムであるImmunefiを通じて最初に提起されました。 同様に、SushiSwapは、コードに危険な脆弱性を報告したユーザーに最大40,000ドルの報酬を支払うことを提案しています。

ただし、この問題はImmunefiで補償なしで解決されました。