- Error en el contrato RouterProcessor2 permite el exploit en SushiSwap
- Solo los usuarios que aprobaron contratos en los últimos 4 días se vieron afectados
- Desarrolladores trabajan para mitigar el problema y revocar permisos en SushiSwap
El intercambio descentralizado (DEX) SushiSwap ha sido víctima de un exploit que ha resultado en la pérdida de más de 3,3 millones de dólares de al menos un usuario conocido como 0xSifu en Twitter. El exploit se ha relacionado con un error en el contrato RouterProcessor2 utilizado para el enrutamiento comercial en el intercambio.
Detalles técnicos del exploit de SushiSwap
El exploit se debe a un error en la función interna swap() que llama a swapUniV3() para establecer la variable «lastCalledPool» en la ranura de almacenamiento 0x00. En la función swap3callback, se omite la verificación de permisos, lo que permite a una entidad no autorizada «enlazar» tokens sin la aprobación adecuada del propietario del token.
El primer ataque utilizó la función ‘yoink’, que explotó el error en el mecanismo de ‘aprobación’ del contrato del enrutador de intercambio de sushi. Luego, otro hacker robó 1800 ETH usando el mismo contrato pero en su lugar llamó a su función «notyoink».
Solo aquellos que intercambiaron en SushiSwap en los últimos cuatro días deberían verse afectados. Según los informes, más de 190 direcciones de Ethereum han aprobado el contrato problemático, y más de 2000 direcciones en Layer 2 Arbitrum también han aprobado el contrato malicioso.
Medidas tomadas
SushiSwap ha recomendado revocar los permisos de todos los contratos en todas las cadenas como medida de seguridad. La firma está trabajando con equipos de seguridad para mitigar el problema. El precio del token de gobernanza de Sushi cayó solo un 0,6% en la hora desde que se conoció la noticia. Ahora mismo, el precio de SUSHI es de
Aún así, el exploit en SushiSwap ha sido un recordatorio de la importancia de la seguridad en los intercambios descentralizados y la necesidad de estar alerta a posibles vulnerabilidades. Los usuarios deben tomar medidas para proteger sus fondos y verificar regularmente los contratos que han aprobado en los intercambios.