Uno degli sviluppatori dietro il noto exchange decentralizzato SushiSwap ha respinto una presunta vulnerabilità segnalata da un hacker white-hat che curiosava nei loro smart contract.
Stando ai report, l’hacker ha affermato di aver identificato una vulnerabilità che metteva a rischio oltre un miliardo di dollari in fondi degli utenti, indicando di aver reso pubblica l’informazione dopo vari tentativi di contattare gli sviluppatori di SushiSwap risultati in nulla.
L’hacker sostiene di aver trovato una “vulnerabilità all’interno della funzione emergencyWithdraw in due degli smart contract di SushiSwap, MasterChefV2 e MiniChefV2,” contratti che regolano le farm di ricompense 2x dell’exchange e le pool sulle implementazioni non-Ethereum di SushiSwap, come Polygon, Binance Smart Chain e Avalanche.
Emergency Withdraw consente ai fornitori di liquidità di riscattare immediatamente i propri token LP rinunciando alle ricompense in caso di emergenze, l’hacker afferma che la funzione fallirà se non sono presenti ricompense nella pool di SushiSwap, costringendo i fornitori di liquidità ad aspettare che la pool venga riempita manualmente attraverso un processo che dura circa 10 ore prima di poter prelevare i propri token.
“Possono volerci circa 10 ore prima che tutti i firmatari concordino di riempire l’account per le ricompense, e alcune pool di ricompense sono vuote più volte al mese,” ha spiegato l’hacker, aggiungendo:
“Le implementazioni non-Ethereum di SushiSwap e le ricompense 2x (che usano gli smart contract MiniChefV2 e MasterChefV2 vulnerabili) presentano un valore totale superiore a 1 miliardo di dollari. Questo significa che questo valore è essenzialmente intoccabile per 10 ore diverse volte al mese.”
Tuttavia, Mudit Gupta, uno degli sviluppatori di SushiSwap, ha respinto le affermazioni dell’hacker sottolineando che la minaccia descritta “non è una vulnerabilità” e che “nessun fondo è a rischio.”
Gupta ha chiarito che “chiunque” può ricaricare le ricompense delle pool in caso di emergenza, bypassando gran parte del processo multi-sig da 10 ore che stando all’hacker è necessario per riempire la pool. Proseguendo, ha aggiunto:
“L’affermazione dell’hacker secondo cui qualcuno può depositare una grande quantità di LP per prosciugare le ricompense più rapidamente non è corretta. La ricompensa per LP diminuisce se aggiungi più LP.”
Correlato: Il token launchpad di SushiSwap, MISO, è stato hackerato per 3 milioni di dollari
L’hacker ha indicato che, dopo aver contattato l’exchange, ha ricevuto l’istruzione di segnalare la vulnerabilità sulla piattaforma per bug bounty Immunefi, dove SushiSwap sta offrendo ricompense fino a 40.000$ agli utenti che segnalano vulnerabilità rischiose nel codice.
Inoltre, ha evidenziato che la questione è stata chiusa su Immunefi senza compensazione, e senza che SushiSwap dichiarasse di essere consapevole del problema descritto.