Kategorien
News

Ethereum DEX SushiSwap weist Berichte über milliardenschweren Protokollfehler zurück

Einem Hacker zufolge ist SushiSwap verwundbar, was zu Verlusten in Höhe von 1 Milliarde Dollar für Liquiditätsanbieter führen könnte.
SushiSwap weiß angeblich von diesem Fehler, weigert sich aber, ihn zu beheben.

SushiSwap hat die Behauptungen eines White-Hat-Hackers zurückgewiesen, der behauptet, einen Fehler in der dezentralen Börse entdeckt zu haben, der ein großes Sicherheitsrisiko für Liquiditätsanbieter darstellt. Dem Hacker zufolge wies SushiSwap einen detaillierten Bericht über die Sicherheitslücke zurück, der besagt, dass die von den Kunden der Börse bereitgestellte Liquidität im Wert von über 1 Milliarde US-Dollar gefährdet ist.

Der Hacker fügte hinzu, dass er sich entschlossen habe, den Bericht öffentlich zu machen, nachdem die SushiSwap-Entwickler seine Versuche ignoriert hätten, sie auf die Schwachstelle hinzuweisen.  Durch die Veröffentlichung der Informationen will der Hacker bestehende und potenzielle SushiSwap-Nutzer über das Risiko aufklären, dem sie ihr Geld aussetzen, indem sie anfälligen Verträgen vertrauen. Außerdem wird er anderen wohlmeinenden Hackern zeigen, wie lässig SushiSwap mit der Angelegenheit umging, obwohl es darüber informiert war.

Was ist falsch an SushiSwap?

Der anonyme Hacker sagte, dass die Notausstiegsfunktionen, die in den SushiSwap-Verträgen MasterChefV2 und MiniChefV2 vorhanden sind, fehlerhaft ist und das Kapital der LP-Token-Inhaber in Höhe von über 1 Milliarde Dollar gefährdet. Die Verträge sind für die 2X-Reward-Liquiditätspools (Farmen) des Protokolls und die SushiSwap-Pools auf anderen Blockchains, einschließlich BSC, Avalanche, Factom und Polygon, zuständig. Die Notauszahlungsfunktion soll es Kunden ermöglichen, ihre LP-Token im Notfall auszuzahlen, oft ohne die verdienten Rewards. Es handelt sich um eine übliche Sicherheitsfunktion in vielen DeFi-Anwendungen.

Der Hacker hat jedoch erklärt, warum die Notausstiegsfunktion bei SushiSwap irreführend ist und nicht so funktioniert, wie die Nutzer glauben gemacht wurden. SushiSwap sagt, dass es den Nutzern erlaubt, Geld abzuheben, ohne sich um die Rewards im Pool zu kümmern, aber wenn es während eines Notfalls keine Token-Belohnungen in einem Pool gibt, können LP-Token-Inhaber ihr Geld nicht abheben.

Sie müssten dann darauf warten, dass autorisierte SushiSwap-Entwickler den LP-Pool von einem Konto mit mehreren Unterschriften auffüllen, auf dem die Rewards separat gehalten werden. Dieser Prozess kann bis zu 10 Stunden dauern, da die Entwickler in verschiedenen Zeitzonen leben.

„Es kann ca. 10 Stunden dauern, bis alle Unterschrifteninhaber der Auffüllung des Prämienkontos zugestimmt haben, und manche Prämienpools sind mehrmals im Monat leer.“

Während der eventuell langen Wartezeit, die im Wesentlichen als Sperrfrist fungiert, können LP-Anbieter keine Einsätze tätigen, Einsätze aufheben, Belohnungen kassieren oder die Notfallfunktion nutzen. Das bedeutet, dass SushiSwap einige Male im Monat eine Sperrfrist für LP-Token hat, die es den Token-Inhabern unmöglich macht, mit den eingesetzten Token auf Preisbewegungen zu reagieren.

„Die Nicht-Ethereum-Einsätze und 2x Rewards von SushiSwap – die alle die anfälligen MiniChefV2- und MasterChefV2-Verträge verwenden – haben einen Gesamtwert von über 1 Milliarde US-Dollar. Das bedeutet, dass dieser Wert mehrmals im Monat für 10 Stunden im Wesentlichen unantastbar ist.“

Die Schwachstelle könnte auch von einem böswilligen Akteur ausgenutzt werden, um wiederholt mehrere Reward-Pools durch die Verwendung großer LP-Token-Beträge auszutrocknen und so die Gelder anderer Nutzer bis zur nächsten Auffüllung durch die Entwickler als „Geisel“ zu halten.

SushiSwaps Antwort

Nachdem er den Fehler entdeckt hatte, wandte sich der White Hat Hacker vertraulich an SushiSwap, um den Fehler zu melden, doch ihm wurde gesagt, er solle den Fehler bei der führenden Bug-Bounty-Plattform für Blockchain, Immunefi, melden. SushiSwap hat ein Kopfgeld in Höhe von 1,25 Millionen Dollar bei dem Programm registriert, das besagt, dass Hacker Anspruch auf eine Auszahlung von 40.000 Dollar haben, wenn sie gespenstische Bugs auf der Börse finden.

Der Hacker sagte jedoch, dass SushiSwap den Bericht geschlossen hat, ohne den Fehler zu beheben oder das Kopfgeld zu zahlen, und dass sie von dem Fehler während der Implementierung wussten. Der Hacker kam daher zu dem Schluss, dass SushiSwap die Sicherheitslücke, die die Nutzer Millionen von Dollar kosten könnte, geplant und eingeführt hat und sich dann weigerte, sie zu beheben.

Der Beitrag Ethereum DEX SushiSwap weist Berichte über milliardenschweren Protokollfehler zurück erschien zuerst auf Crypto News Flash.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.