Mentre exploit e hack dilagano nell’ecosistema DeFi, almeno un progetto sembra aver sventato la parte peggiore di un attacco: il controverso exchange AMM (Market Maker Automatizzato) “vampiro” SushiSwap.

Nella notte del 29 novembre, alcuni osservatori hanno notato che SushiSwap, noto per aver risucchiato liquidità dall’AMM rivale Uniswap, stava subendo un exploit, e che lo sviluppatore capo "0xMaki" stava prendendo provvedimenti per mitigarlo:

“Trovato un possibile exploit su SushiSwap? 0xMaki invia una transazione all’hacker con un messaggio per riscuotere la bug bounty.”

I report dal canale Discord del progetto indicano ora che l’exploit è stato risolto, e tutti i fondi degli utenti persi (tra 10.000$ e 15.000$) verranno coperti dalla tesoreria di SushiSwap.

Per comprendere meglio l’exploit e cosa significa per SushiSwap, Cointelegraph ha contattato uno degli ingegneri ringraziati personalmente da 0xMaki su Twitter per aver aiutato a mitigarne gli effetti: "Andy", l’autodefinitosi “DeFi degen” sviluppatore di Solidity:

“Avrete un post-mortem al mio risveglio. L’hacker ha ottenuto circa 10.000$-15.000$ dalla quota dello 0,05% di SushiSwap sulle commissioni. I possessori di LP e xSushi sono al sicuro! Grazie a @andy8052, @danielque e i core dev di Sushi per la reazione rapida e l’aiuto.”

Come spiegato da Andy, 0xMaki l’ha contattato alle quattro di notte:

“0xMaki mi ha detto che c’era qualcosa di strano in atto ma non era sicuro di cosa fosse. Siamo stati un'ora in una chiamata su Discord analizzando le transazioni, finché non abbiamo capito cos’era l’exploit."

Andy ha spiegato che, attraverso il processo di wrapping di liquidity pool token e l’invio a una nuova pool, l’hacker è riuscito a eseguire una “logica molto strana per sottrarre i token sottostanti dallo smart contract delle ricompense.

Gli smart contract colpiti sono stati sistemati nel giro di qualche ora, e secondo 0xMaki la società di audit Peckshield controllerà le modifiche.

0xMaki e il team di SushiSwap hanno poi tentato di comunicare con l’hacker mentre cercavano di trovare una soluzione, inviando un breve messaggio all’indirizzo dei responsabili:

“Ti vedo, stiamo lavorando per risolverlo. Contattami su Discord per una bug bounty -0xMaki.”

Messaggi simili sono stati una caratteristica di molti hack ed exploit recenti, incluso il flash loan ai danni di Value DeFi in cui il responsabile ha deriso il team (e più tardi ha restituito parte del ricavato a una vittima che ha affermato di essere un’infermiera), oppure il precedente attacco informatico contro Dforce in cui l’hacker ha restituito i fondi con una nota per il futuro.

Andy, tuttavia, non ritiene che sia l’inizio di un trend più ampio. “Non credo che diventerà qualcosa di serio, semplicemente perché è costoso e inefficiente,” ha spiegato.

Quando SushiSwap arrivò sulla scena DeFi, il progetto riscosse un incredibile successo. Il fondatore organizzò un exit-scam, ma infine deciso di restituire i fondi sottratti. Nonostante tali avvenimenti, il mercato sta nuovamente mostrando segnali di fiducia in SushiSwap: il prezzo del governance token SUSHI è aumentato per oltre il 100% dall’inizio del mese.

Da parte sua, la fede di Andy non si è mai indebolita e la rapida reazione all’attacco è un chiaro segno della competenza dal nuovo team di Sushi:

“Stanno lavorando sodo a testa bassa. Basta guardare tutte le cose interessanti che hanno rilasciato e stanno sviluppando. Di certo non ha danneggiato la mia opinione su di loro ma non l’ha neanche cambiata molto personalmente, in quanto ho sempre avuto molta stima per il team.”