SushiSwap a été la cible d’une attaque pendant le week-end. Les données on-chain montrent que les utilisateurs de l’exchange décentralisé auraient perdu près 3,3 millions de dollars après l’acte de piraterie.
Les pirates s’en prennent à SushiSwap
Ce week-end, l’exchange décentralisé, SushiSwap a rapporté que son protocole a subi un acte de piraterie. En effet, le hacker aurait siphonné pas moins de 3,3 millions de dollars sur la plateforme. Ce, d’après ce qu’affirment les spécialistes en visualisant les données on-chain.
La firme d’analyse de sécurité blockchain Peckshield a révélé que l’exploitant aurait profité d’une faille liée à l’approbation du contrat RouterProcessor2.
Concrètement, le beug a permis au hacker de s’immiscer sur le protocole sans avoir besoin de l’autorisation des utilisateurs de SushiSwap. Ainsi, à en croire les propos de l’analyste du journal The Block, de Brad Kay, l’attaque a été effectuée en deux séquences.
“Le beug permet à une entité non autorisée d’essentiellement “yoink” les jetons sans l’approbation appropriée du propriétaire du jeton. Après la première attaque pour 100 ETH – peut-être un white hat – il semble qu’un autre pirate soit arrivé et ait volé environ 1 800 ETH. Ce, en utilisant le même contrat, mais en nommant sa fonction (notyoink)”.
NB : “yoink” est un terme utilisé dans le monde de piraterie. Cela signifie : « prendre quelque chose avec discrétion, rapidité et finesse ».
Quelle a été la source du problème ?
D’après, un compte twitter spécialisé dans la cybersécurité, Ancilia : La cause principale “est que dans la fonction interne swap(), elle appelle swapUniV3() pour définir la variable “lastCalledPool” qui se trouve dans l’emplacement de stockage 0x00. Plus tard, dans la fonction swap3callback, le contrôle de permission est contourné”.
Apparemment, beaucoup d’adresses auraient été piégées par le pirate. Ainsi, les analystes ont recensé 190 adresses Ethereum et 2 000 adresses Arbitrum qui ont approuvé le mauvais contrat. Aux utilisateurs qui ont, sans se rendre compte validés le mauvais contrat, l’expert au pseudonyme, @0xngmi, les invite à annulez les approbations dès que possible. Mais également de déplacez les fonds du portefeuille affecté vers un nouveau portefeuille.
En dehors de cet épisode de piratage, l’écosystème SushiSwap doit faire face aux accusations du gendarme de la bourse américaine. Comme d’autres plateformes d’échange de cryptomonnaies, le DEX est épinglé pour violation des lois fédérales sur les valeurs mobilières
Morale de l’histoire : Les vieux démons de l’univers des cryptomonnaies refont surface après un début d’année plutôt tranquille. Malheureusement, SushiSwap fait partie des premières plateformes à faire les frais.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.