DEX SushiSwap wird Opfer eines Angriffs. Ein Fehler in einem Smart Contract führt bereits zu mehr als 3,3 Millionen US-Dollar Schaden. Die Entwickler warnen vor der weiteren Nutzung mehrerer Blockchains in Verbindung mit ihrer Plattform.
SushiSwap Hack: Mehr als 3,3 Millionen US-Dollar Schaden
SushiSwap ist laut DefiLlama die zwanzigstgrösste DeFi-Plattform nach TVL. Umgerechnet sind es mehr als 541 Millionen US-Dollar, die sich im System des DEX befinden. Gestern wird die Plattform zum Ziel eines erfolgreichen Angriffs, der bereits mehr als 3,3 Millionen US-Dollar an Schaden verursacht.
Schuld an der Misere ist ein fehlerhafter Smart Contract namens “RouteProcessor2”. Wer mit SushiSwap innerhalb der letzten sechs Tage agierte, sollte dringend seine Token Allowance widerrufen, so erklärt das Sicherheitsunternehmen Hacken.
Mit PeckShield liefert eine weitere Firma Details, die sich mit der Sicherheit von Blockchains auseinandersetzt. In einem Tweet fasst man betroffene Contract-Adressen zusammen, mit denen Nutzer nicht mehr agieren sollen.
Gleich fünf verschiedene Blockchains sind Ziel des Angriffs: Ethereum, BNB, Polygon, Avalanche und Fantom.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Wie konnte SushiSwap gehackt werden?
Der Smart Contract RouteProcessor2 legt die Details eines Tauschs fest. Wenn Nutzer mit SushiSwap agieren, ist der Vertrag dafür zuständig, die Auswahl des richtigen Liquidity Pools, der richtigen Token und der exakten Menge zu treffen.
Der Programmcode des Smart Contracts enthält jedoch keine Liste an zuverlässigen, legitimen Liqudity Pools. Ohne weisse Liste ist es einem bösartigen Akteur möglich gewesen, einen eigenen Pool anzugeben und durch einen Rückruf die Gelder von Nutzern zu entwenden.
Fehler dieser Art können laut Hacken vermieden werden, indem ein Smart Contract eine Rückzahlung nur dann zulässt, wenn dieser einen Anspruch des entsprechenden Pools erkennen kann.
“Durch die Angabe eines gefälschten UniV3-Pools konnte der Angreifer vortäuschen, dass er eine beliebige Menge an Token abgebucht hatte, die der Router-Vertrag den Nutzern bereitwillig abbuchte.”
Schreibt OtterSec auf Twitter. Laut weiteren Informationen handelt es sich bei einigen Verlusten im Zusammenhang mit SushiSwap um die Attacken von White-Hat-Hackern, die die erbeuteten Gelder wieder an ihre rechtmässigen Eigentümer zurückgeben.
Handel ist wieder sicher
Vor einigen Stunden meldet sich Jared Grey, Geschäftsführer von SushiSwap auf Twitter zu Wort. Dort gibt er bekannt, den Fehler inzwischen behoben zu haben. Neue Nutzer müssen sich also keine Sorgen mehr darüber machen, mit dem fehlerhaften Smart Contract zu interagieren.
Wer bereits mit den fehlerhaften Contracts in Kontakt war, muss deren Zugriff dennoch zuerst widerrufen. Geschädigte Nutzer sollen sich mit SushiSwap in Verbindung setzen, um entwendete Kryptowährungen zu identifizieren. SushiSwap arbeitet dann darauf hin, diese Vermögenswerte zu verfolgen und eine Rücksendung durchzuführen.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
