SushiSwap token allocation exploit drains $3.3M as users urged to revoke token allowances

L’exploit d’allocation de jetons SushiSwap draine 3,3 millions de dollars alors que les utilisateurs sont invités à révoquer les allocations de jetons

ParCryptoFinder

Une vulnérabilité critique a été identifiée dans le protocole DeFi SushiSwap par la société de sécurité PeckShield ce week-end, avec l’exploit impliquant le contrat ‘RouterProcessor2’ utilisé pour le routage des échanges sur la bourse SushiSwap.

« Il semble que le contact SushiSwap RouterProcessor2 ait un bogue lié à l’approbation, ce qui entraîne la perte de > 3,3 millions de dollars (environ 1800 eth) de 0xSifu », a publié PeckShield sur Twitter. Le développeur en chef de SushiSwap, Jared Gray, a confirmé le problème, exhortant les utilisateurs à révoquer les autorisations pour tous les contrats sur SushiSwap par mesure de sécurité. Le bogue a entraîné une perte de plus de 3,3 millions de dollars, affectant principalement un seul utilisateur, 0xsifu, connu dans la communauté Crypto Twitter.

Gris déclaré,

« Le contrat RouteProcessor2 de Sushi présente un bogue d’approbation ; veuillez révoquer l’approbation dès que possible. Nous travaillons avec les équipes de sécurité pour atténuer le problème.

L’exploit semble avoir eu un impact sur les utilisateurs qui ont approuvé les contrats SushiSwap au cours des quatre derniers jours, selon le développeur DefiLlama 0xngmi. Pendant ce temps, les équipes de sécurité continuent d’enquêter sur le problème, de suivre les fonds volés et de travailler pour récupérer les actifs concernés.

Récupération de fonds

« Les efforts de récupération sont en cours », a déclaré Jared Gray, citant un tweet de MetaSleuth qui a fourni une ventilation des fonds volés. Le premier attaquant, 0x9deff, a rendu 90 ETH sur les 100 volés, tandis que BlockSec a sauvé 100 ETH et s’est engagé à le rendre sous peu. Des négociations entre sifuvision.eth et c0ffeebabe.eth sont en cours, la plupart des fonds volés étant attribués à « beaverbuild, rsync-builder et Lido : Execution Layer Rewards Vault ».

Source : MetaSleuth

BlockSecTeam a reconnu son implication dans les efforts de récupération, en tweetant,

« Nous savions que @SushiSwap RouteProcessor2 avait été attaqué. Nous avons évalué les dommages possibles au cours des dernières heures et n’avons rendu cela public qu’après avoir estimé que c’était sûr : les actifs des utilisateurs sont toujours notre première priorité. Au fait : nous en avons sauvé une partie et publierons les détails plus tard.

Alors que les développeurs et les équipes de sécurité continuent de remédier à la vulnérabilité et de récupérer les fonds perdus, il est fortement conseillé aux utilisateurs de révoquer les autorisations pour tous les contrats SushiSwap afin de protéger leurs actifs.

L’incident souligne l’importance de la vigilance continue et des mesures de sécurité au sein de l’écosystème DeFi, car le secteur en pleine croissance reste vulnérable aux exploits et aux attaques ciblées sur la mauvaise configuration des comptes.

Au moment de la presse, le jeton Sushi est en baisse de 4,9 % sur la journée, s’échangeant autour de 1,08 $.

L’exploit d’allocation de jetons post SushiSwap draine 3,3 millions de dollars alors que les utilisateurs invités à révoquer les allocations de jetons sont apparus en premier sur CryptoSlate.