Piratage de SushiSwap : la direction appelle à “révoquer toutes les chaînes”

SushiSwap, la plateforme d’échange décentralisée, a fait l’objet d’un piratage. Celui-ci a occasionné plus de 3,3 millions de dollars de pertes chez au moins un utilisateur, connu sur Twitter sous le pseudonyme de 0xSifu.

Cette attaque est le résultat d’un bug relatif à la validation du contrat RouterProcessor2. PeckShield et Jared Grey, le chef de SushiSwap, recommandent de révoquer ce contrat sur toutes les plateformes.

Selon Ancilia, Inc. et sur le plan technique, la cause première de ce piratage est le fait que la fonction interne swap() fait appel à swapUniV3() pour définir la variable “lastCalledPool”, qui se trouve dans l’emplacement de stockage 0x00.

Selon le compte de cybersécurité, ” la vérification des autorisations est contournée plus loin dans la fonction swap3callback “.

Pour ou contre le yoink ?

Dans les faits, dans le cas présent, les utilisateurs, en approuvant le mauvais contrat, permettent sans le savoir au pirate de voler leurs jetons ou “yoink”.

Brad Kay, analyste de recherche chez The Block a expliqué que le premier pirate a utilisé la fonction “yoink”, qui est due au fait que le virus de l’attaque est un bug dans le mécanisme d’approbation du contrat de routeur de SushiSwap.

M. Kay explique que :

“ce bug a pour conséquence de permettre à une entité non autorisée d’utiliser des jetons sans l’accord du propriétaire du jeton” : “Après la première attaque portant sur 100 ETH, effectuée probablement par un white hat, il semble qu’un autre hacker soit arrivé et ait volé environ 1 800 ETH supplémentaires via le même contrat, mais en nommant sa fonction “notyoink””.

Le nombre d’utilisateurs de SushiSwap touchés par le piratage

À en juger par les premiers rapports, très peu d’utilisateurs de SushiSwap ont été touchés par le piratage.

En effet, selon @0xngmi, de DeFi Llama, seulement ceux qui ont échangé sur SushiSwap au cours des quatre derniers jours devraient être affectés. De plus, la firme a publié une liste de contrats à travers toutes les chaînes dont la validité devrait être révoquée. Elle a également mis au point un outil permettant la vérification de l’impact de l’une de ses adresses sur la blockchain.

Kevin Peng, analyste chez The Block Research, explique que, pour l’instant, 190 adresses Ethereum ont approuvé le contrat problématique. Cependant, plus de 2000 adresses sur la couche 2 d’Arbitrum ont apparemment approuvé ledit contrat.

Depuis la publication de la nouvelle, le prix du jeton de gouvernance de Sushi a chuté de seulement 0,6 % en l’espace d’une heure.

Selon un tweet de Grey, la plateforme “travaille avec les équipes de sécurité pour atténuer le problème.”. Dans ce tweet, Grey indique que la DAO de Sushi sollicite un fonds de défense juridique de 3 millions de dollars suite à l’assignation de Sushi par la Securities and Exchange Commission des États-Unis (SEC).  

Une partie des fonds volés a été récupérée

Le piratage de la plateforme SushiSwap a connu un dénouement heureux, car la majorité des fonds a été récupérée. En effet, quelques heures après le piratage, Grey a annoncé sur Twitter que près d’un millier d’ETH ont été récupérés. Cela représente une victoire contre les pirates et un soulagement pour les utilisateurs qui ont été victimes de vol.