由匿名白帽黑客发布的 SushiSwap 漏洞报告已被流行的去中心化交易所背后的开发人员拒绝。
黑客和他在 SushiSwap 网络中的所谓漏洞首先是通过媒体报道曝光的。 同时,黑客声称用户可能会因这些威胁而遭受价值超过 10 亿美元的资金损失。
黑客还承认仅在试图以保密方式提请 SushiSwap 开发人员注意此信息并没有采取任何行动后才将信息公之于众。
在报告中,黑客声称在 SushiSwap 的两个合约 MasterChefV2 和 MiniChefV2 中发现了“emergencyWithdraw 功能中的漏洞”。 这些合约管理交易所在非以太坊侧链上的 2x 奖励农场和矿池,例如 币安智能链、Polygon、Fantom、Avalanche 等。
EmergencyWithdraw 功能为使用 DeFi 服务的用户提供了一个安全网,基本上允许他们在紧急情况下立即提取其流动性提供者 (LP) 代币,同时没收在那之前获得的任何奖励。
根据黑客的说法,此功能具有误导性,因为如果 SushiSwap 矿池中没有奖励,它就不会按预期工作。
如果奖矿池中的奖励枯竭,则必须由项目团队使用多重签名帐户手动填充,同时通常在截然不同的时区进行操作。 黑客认为,这可能导致等待时间超过 10 个小时,然后才能撤回代币。
但是,该平台的开发人员现在已经澄清了。 该平台的“Shadowy Super Coder” Mudit Gupta 在 Twitter 上强调,威胁本身“不是漏洞”,并补充说“没有资金面临风险”。
开发人员声称,与黑客的说法相反,如果出现紧急情况,“任何人”都可以为该矿池充值。 这使得黑客解释的 10 小时多重签名过程变得无关紧要。
无论如何,黑客的意图似乎是“通过信任这些易受攻击的合约来教育当前和未来的 SushiSwap 用户他们所承担的风险”。 […]。 事实上,白帽黑客还指责 SushiSwap 处理他们面前的事情太随便了。
“问题”首先是通过平台的漏洞赏金计划 Immunefi 提出的。 同样,SushiSwap 向报告其代码中存在风险漏洞的用户提供高达 40,000 美元的奖励。
然而,这个问题在 Immunefi 上没有得到补偿。
举报电话: 13816368049
