Một hacker mũ trắng ẩn danh đã công bố một báo cáo chi tiết cáo buộc rằng giao thức DeFi, SushiSwap, hiện có lỗ hổng bảo mật khiến số tiền của người dùng có giá trị ít nhất một tỷ đô la.

Nỗ lực yêu cầu các nhà phát triển SushiSwap sửa lỗi một cách bí mật đã không thành công, dẫn đến quyết định công khai thông tin.

Theo haker, động cơ là để “giáo dục người dùng SushiSwap hiện tại và tương lai về những rủi ro mà họ đang phải chịu bằng cách tin tưởng vào những hợp đồng dễ bị tấn công này […] và chỉ ra cho các hacker mũ trắng cách SushiSwap xử lý vấn đề này một cách tình cờ khiến họ chú ý.”

Lỗ hổng SushiSwap

Haker mũ trắng đã lưu ý rằng có một “lỗ hổng trong chức năng Rút tiền khẩn cấp trong hai trong số các hợp đồng của SushiSwap, MasterChefV2 và MiniChefV2.” Các hợp đồng này phụ trách các trang trại thưởng gấp đôi của SushiSwap và các nhóm SushiSwap trên các chuỗi phụ như Binance Smart Chain, Polygon, Factom, Avalanche, v.v.

Về cơ bản, chức năng rút tiền khẩn cấp là một mạng lưới an toàn nổi bật trên các giao thức DeFi, bao gồm các hợp đồng thông minh Ethereum của SushiSwap. Tính năng này cho phép người dùng rút token Nhà cung cấp thanh khoản (LP) của họ trong trường hợp khẩn cấp, có khả năng mất bất kỳ phần thưởng nào kiếm được cho đến thời điểm đó.

Mặc dù cả hai hợp đồng SushiSwap đều bao gồm tính năng này, nhưng hacker tuyên bố rằng nó gây hiểu lầm và không hoạt động như dự định. Nhận xét của SushiSwap về mã cho thấy rằng chức năng rút tiền khẩn cấp sẽ cho phép người dùng rút tiền mà không cần quan tâm đến phần thưởng. Tuy nhiên, chức năng không thành công nếu không có phần thưởng trong nhóm SushiSwap.

(SushiSwap MasterChefV2 via Github)
(SushiSwap MiniChefV2 qua Github)

Theo báo cáo, phần thưởng token mà SushiSwap trả cho chủ sở hữu token LP được lưu trữ trong một tài khoản khác. Đôi khi phần thưởng cạn kiệt và nhóm của dự án phải điền theo cách thủ công bằng cách sử dụng tài khoản có nhiều chữ ký với các nhà phát triển ở các múi giờ khác nhau.

“Có thể mất khoảng 10 giờ để tất cả những người có chữ ký đồng ý nạp tiền vào tài khoản phần thưởng và một số phần thưởng trống nhiều lần trong tháng,”

báo cáo tuyên bố.

Trong thời gian này, các nhà cung cấp SushiSwap LP không thể “đặt cược, hủy bỏ, thu thập phần thưởng hoặc thậm chí sử dụng chức năng rút tiền khẩn cấp”. Việc khóa này có nghĩa là tiền của người dùng thực tế bị giữ làm con tin trong khoảng thời gian này, khiến họ không thể phản ứng với biến động giá trong các token LP đã đặt cọc.

“Các hoạt động triển khai không phải Ethereum của SushiSwap và 2 lần phần thưởng (tất cả đều sử dụng các hợp đồng MiniChefV2 và MasterChefV2 dễ bị tổn thương) có tổng giá trị hơn 1 tỷ đô la. Điều này có nghĩa là giá trị này về cơ bản là không thể chạm tới trong 10 giờ nhiều lần trong tháng.”

Hacker cũng lưu ý rằng nhóm hỗ trợ SushiSwap’s Discord thường khuyến khích người dùng gọi chức năng rút tiền khẩn cấp. Vì cuộc gọi thông thường sẽ không thành công do lỗ hổng bảo mật, người dùng phải kiên nhẫn cho đến khi phần thưởng được nạp lại.

Ngoài việc không thể rút tiền trong một thị trường có nhiều biến động, hacker tuyên bố lỗ hổng này có thể bị một đối thủ cạnh tranh SushiSwap khai thác với mục đích xấu. Sử dụng một số lượng lớn token LP, họ có thể liên tục làm cạn kiệt nhiều nhóm phần thưởng và do đó giữ tiền của những người dùng khác làm con tin cho đến khi nhóm có thể nạp đầy đủ vào nhóm.

Phản ứng của SushiSwap đối với lỗ hổng bảo mật

Sau khi phát hiện ra lỗ hổng, hacker mũ trắng tuyên bố họ đã bí mật liên hệ với SushiSwap để báo cáo lỗi này. Dự án đã giới thiệu hacker đến Immuefi, một nền tảng tiền thưởng lỗi nơi Sushiswap đã liệt kê chương trình tiền thưởng lỗi của họ.

SushiSwap có tiền thưởng tối đa 1,25 triệu đô la được đăng trên Immunefi, với những hacker tiết lộ lỗ hổng bảo mật có nguy cơ cao đủ điều kiện nhận khoản tiền thưởng lên tới 40.000 đô la. Tuy nhiên, trong trường hợp này SushiSwap đã đóng vấn đề mà không trả tiền thưởng và cũng không sửa lỗ hổng bảo mật.

Nhóm bị cáo buộc đã tuyên bố rằng “vấn đề hoạt động được đề cập đã được biết vào thời điểm thực hiện. Không có sửa chữa nào được thực hiện ngoài việc chuyển thêm tiền.”

Theo hacker, tuyên bố ám chỉ rằng SushiSwap “cố ý và có chủ đích đưa ra một lỗ hổng bảo mật có thể bị khóa và khiến người dùng mất hàng triệu đô la, [và họ cũng từ chối sửa nó.”

Coinfomania đã liên hệ với SushiSwap để nhận xét về lỗ hổng bị cáo buộc, nhưng không nhận được phản hồi.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây