Hack SushiSwap : Révoquez toutes vos autorisations

SushiSwap, la célèbre plateforme d’échange décentralisée, a été victime d’un piratage qui a entraîné la perte de plus de 3,3 millions de dollars pour au moins un utilisateur, connu sous le nom de 0xSifu sur Twitter. Pour éviter de perdre vos cryptomonnaies liées avec SushiSwap, les équipes de développement recommandent de révoquer toutes les autorisations sur les différentes blockchains.

Un problème dans le contrat RouterProcessor2 à l’origine du Hack de SushiSwap

D’après les premiers éléments, ce hack serait dû à un bug lié à l’approbation du contrat RouterProcessor2 et c’est pour cette raison que PeckShield et Jared Grey, le chef de SushiSwap, recommandent de révoquer toutes les approbations en lien avec le DEX au plus vite.

Parmi les différentes transactions en lien avec ce hack, l’utilisateur connu sous le nom de 0xSifu sur Twitter a perdu un peu plus de 3,3 millions de dollars dans cette affaire.

Hack Etherscan SushiSwap

Le fondateur de DeFi Llama, @0xngmi, affirme que seuls ceux qui ont échangé sur SushiSwap au cours des quatre derniers jours devraient être affectés. Ils ont également publié une liste de contrats sur toutes les chaînes qui devraient être révoqués et ont construit un outil pour vérifier si l’un de vos adresses a été impacté.

Contrat révoquer

Si vous êtes un utilisateur de SushiSwap, nous vous recommandons de suivre de près les mises à jour et de révoquer tous les contrats impliqués dans l’attaque pour protéger vos fonds. Pour cela, vous pouvez utiliser des solutions comme Revoke.cash qui vont vous permettre de fermer ces brèches par mesure de sécurité.

Voir aussi  Euler Finance : Les hackers restituent 100 millions de dollars

Comment le pirate a-t-il réussi à voler les cryptomonnaies des victimes ?

La cause de ce bug selon Ancilia, Inc. et en termes techniques, « est que dans la fonction swap() interne, elle appellera swapUniV3() pour définir la variable « lastCalledPool » qui se trouve dans l’emplacement de stockage 0x00« . Le compte de cybersécurité ajoute également que « plus tard, dans la fonction swap3callback, la vérification des autorisations est contournée« . En d’autres termes, le pirate en question à fait preuve d’ingéniosité pour contourner la fonction de vérification des autorisations.

Le chercheur de The Block, Brad Kay, explique que « la fonction « yoink » a été utilisée par le premier attaquant, qui est dû au vecteur d’attaque étant un bug dans le mécanisme « approve » du contrat du routeur d’échange de sushi ». Kay ajoute que « le bug permet à une entité non autorisée de « yoinker » essentiellement des jetons sans l’approbation appropriée du propriétaire de jetons », et que suite à la première attaque de 100 ETH, un autre pirate est apparu et a volé environ 1800 ETH supplémentaires en utilisant exactement le même contrat, mais en nommant leur fonction « notyoink ».

Enfin, le chercheur de The Block, Kevin Peng, explique que jusqu’à présent, 190 adresses Ethereum ont approuvé le contrat problématique. Cependant, plus de 2000 adresses sur Layer 2 Arbitrum ont apparemment approuvé le mauvais contrat.

L’ère de la DeFi et ses dangers sont encore bien présents. Malgré les efforts et l’implémentation de nouvelle fonctionnalité pour lutter contre les escroqueries, les contrats intelligents possèdent, eux aussi, certaines vulnérabilités. Par mesure de sécurité, pensez à révoquer régulièrement les approbations non utilisées sur vos différents portefeuilles.

Voir aussi  Safemoon victime d'un hack de 8,9 millions de dollars

Source : Tweet PeckShield

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *