DEX SushiSwap потеряла более чем $3,3 млн в результате эксплойта. Разработчики сообщили, что был атакован контракт RouterProcessor2, который используется для маршрутизации торговли на бирже.

«Похоже, что контракт RouterProcessor2 имеет ошибку, связанную с подтверждением, которая приводит к потере более $3,3 млн (примерно 1800 ETH)» — сообщила компания по блокчейн безопасности PeckShield. 

В первых сообщениях после атаки сказано, что пострадали немного пользователей. 

@0xngmi из DeFi Llama заявил:

«Пострадали только те, кто совершил обмен на SushiSwap в течение последних четырех дней. Был опубликован список контрактов, которые должны быть аннулированы»

Кроме этого, разработчики создали инструмент для проверки, не пострадал ли какой-либо из ваших адресов. Аналитик Кевин Пенг объяснил, что в настоящее время 190 адресов Ethereum и 2000 адресов на Layer 2 Arbitrum, похоже, одобрили плохой контракт.

Быстрое расследование от CEO 1inch:

«Хакер использовал фейковый пул Uniswap V3 в связке с новым маршрутизатором SushiSwap, у которого не было никаких проверок подлинности пула.

Таким образом, поддельный пул вызвал обратный вызов маршрутизатора с искаженными аргументами, что привело к передаче средств от неправильного пользователя»