En utav de utvecklare som ligger till grund för den omtyckta decentraliserade valutaväxlingen SushiSwap har förkastat en förmodad sårbarhet rapporterad av en vit hatt hackare som nosat igenom sina smarta kontrakt.
Enligt medierapporter hävdade hackern att ha identifierat en säkerhetsbrist som kan sätta användarnas medel till ett belopp på mer än 1 miljard USD i fara, och uppgav sedan att de gick ut med uppgifterna efter att försöken att nå fram till SushiSwaps utvecklingspersonal resulterade i overksamhet.
Hackerföretaget påstår sig att de har hittat en ”sårbarhet inuti emergencyWithdraw-funktionen på två av SushiSwaps avtal, MasterChefV2 respektive MiniChefV2” – sådana avtal som styr börsens 2x reward farms och de pooler som finns på SushiSwaps installationer utanför Ethereum, t.ex. Polygon i Binance Smart Chain och Avalanche.
Även om funktionen Emergency Withdraw tillåter att likviditetsleverantörer genast kan göra gällande sina tokens för likviditetsleverantörer medan de förlorar vinster i händelse av ett nödfall, hävdar hackerfirman att funktionen misslyckas om det saknas belöningar i SushiSwaps pool – och tvingar därför likviditetsleverantörer att vänta tills poolen manuellt fylls på igen under en process som tar cirka 10 timmar i taget innan deras tokens kan dras ut.
”Det kan ta cirka 10 timmar innan alla underskriftsinnehavare ger sitt samtycke om att fylla på bonuskontot, och vissa bonuspooler är tomma ett flertal gånger i veckan”, påstod hackaren som tillade:
”SushiSwaps installationer utanför Ethereum och 2x rewards (som alla utnyttjar de känsliga MiniChefV2- respektive MasterChefV2-kontrakten) har ett totalt värde på mer än 1 miljard USD. Vilket innebär alltså att detta värdet i princip är orörbart under 10 timmar åtskilliga gånger i månadsskiftet.”