SushiSwap отричат да има заплаха за потребителските средства

Разработчикът зад популярната децентрализирана борса SushiSwap отрича твърденията за предполагаема уязвимост, докладвана от етичен хакер.

Според доклади на различни медии, хакерът е заявил, че е идентифицирал уязвимост, която касае потребителски средства на стойност над $1 милиард, заявявайки, че информацията е станала публично достъпна, след като опитите за свързване с разработчиците на SushiSwap са били безрезултатни.

Хакерът твърди, че е идентифицирал “уязвимост в рамките на функцията за аварийно теглене (emergencyWithdraw) в два от договорите на SushiSwap, MasterChefV2 и MiniChefV2” – договори, които управляват 2x ферми за възнаграждение на борсата и пуловете на внедряванията на SushiSwap извън Етериум като Binance Smart Chain, Polygon и Avalanche.

Докато функцията за аварийно теглене позволява на доставчиците на ликвидност незабавно да поискат своите LP токени, докато губят награди в случай на спешност, хакерът твърди, че функцията няма да работи, ако няма награди в пула на SushiSwap – принуждавайки доставчиците на ликвидност да чакат пула да бъде ръчно зареден при 10-часов процес, преди да могат да изтеглят своите токени.

“Може да отнеме приблизително 10 часа, докато всички притежатели на [дигитални] подписи се съгласят да презаредят сметката за награди, а някои пулове за награди са празни няколко пъти месечно“, заяви хакерът, добавяйки:

Разгръщането на SushiSwap извън Етериум и 2x награди (всички използващи уязвимите договори MiniChefV2 и MasterChefV2) държат над $1 милиард обща стойност. Това означава, че тази стойност е по същество недосегаема за 10 часа няколко пъти месечно.

Псевдонимният разработчик на SushiSwap обаче се обърна към Twitter, за да отхвърли твърденията, като програмиста на платформата Мудит Гупта подчерта, че описаната заплаха “не е уязвимост” и че “няма средства, поставени в риск“.

Гупта поясни, че “всеки” може да допълни наградния пул в случай на извънредна ситуация, заобикаляйки голяма част от 10-часовия процес. Той добави:

Твърдението на хакера, че някой може да вложи много LP, за да източи по-бързо възнаграждението, е неправилно. Наградата за LP намалява, ако добавите още LP.

ПРОЧЕТИ ОЩЕ: Хакер открадна милиони от DeFi платформа

Хакерът каза, че са били инструктирани да докладват за уязвимостта на платформата за намиране на бъгове Immunefi – където SushiSwap предлага да плати награди до $40,000 на потребители, които съобщават за рискови уязвимости в кода им.

Те отбелязаха, че въпросът е приключен на Immunefi без обезщетение, като от SushiSwap заявиха, че са запознати с описаната ситуация.