La DEX de Ethereum, SushiSwap, desestima los informes sobre un fallo multimillonario en el protocolo

  • El hacker dice que SushiSwap es vulnerable, lo que podría provocar pérdidas de 1.000 millones de dólares a los proveedores de liquidez.
  • Al parecer, SushiSwap conoce el fallo y se niega a solucionarlo.

El desarrollador de SushiSwap rechazó las afirmaciones de un hacker de sombrero blanco que aseguraba haber identificado un fallo en el intercambio descentralizado que supone un importante riesgo de seguridad para los proveedores de liquidez (LP). Según el hacker, SushiSwap rechazó un informe de vulnerabilidad detallado que indicaba que más de mil millones de dólares en liquidez proporcionada por los usuarios del intercambio están en riesgo.

El hacker añadió que decidió publicar el informe después de que los desarrolladores de SushiSwap ignoraran sus intentos de ponerse en contacto con él para informarle sobre el exploit.  Al hacer pública la información, el hacker dijo que educará a los usuarios actuales y potenciales de SushiSwap sobre el riesgo al que exponen sus fondos al confiar en contratos vulnerables. Además, revelará a otros hackers bienintencionados cómo SushiSwap manejó casualmente el asunto a pesar de haber sido informado de ello.

¿Qué pasa con SushiSwap?

El hacker anónimo dijo que la función de retirada de emergencia, presente en los contratos SushiSwap, MasterChefV2 y MiniChefV2, es defectuosa y pone en riesgo más de 1.000 millones de dólares en capital de los titulares de tokens LP.

Los contratos están a cargo de los pools de liquidez de recompensa 2X del protocolo (granjas) y de los pools SushiSwap en otras blockchains, incluyendo BSC, Avalanche, Factom y Polygon. La función de retirada de emergencia está diseñada para permitir a los usuarios retirar sus tokens LP en caso de emergencia, a menudo excluyendo las recompensas ganadas. Es una función de seguridad común en muchas aplicaciones DeFi.

Sin embargo, el hacker explicó por qué la retirada de emergencia en SushiSwap es engañosa y no funciona de hecho como se ha hecho creer a los usuarios. SushiSwap dice que permite a los usuarios retirar fondos sin preocuparse de las recompensas en el pool, pero si no hay recompensas de tokens en un pool durante una emergencia, los titulares de tokens LP no pueden retirar sus fondos.

En ese caso, tendrían que esperar a que los desarrolladores autorizados de SushiSwap rellenaran la reserva de LP desde una cuenta de fichas múltiples en la que las recompensas se mantienen por separado. Este proceso podría llevar hasta 10 horas, ya que algunos de los desarrolladores viven en zonas horarias diferentes.

Todos los titulares de firmas pueden tardar aproximadamente 10 horas en dar su consentimiento para rellenar la cuenta de recompensas, y algunos fondos de recompensas se vacían varias veces al mes.

Follow us for the latest crypto news!

Durante el hipotético largo periodo de espera, que actúa esencialmente como un periodo de bloqueo, los proveedores de LP no pueden stakear, des-stakear, cobrar recompensas o utilizar la función de emergencia. Esto implica que SushiSwap tiene un periodo de bloqueo para los tokens LP unas cuantas veces al mes que haría imposible que los poseedores de tokens reaccionaran a los movimientos de precios utilizando los tokens apostados.

Los despliegues de SushiSwap que no son de Ethereum y las recompensas 2x (todos usando los contratos vulnerables MiniChefV2 y MasterChefV2) tienen más de mil millones de dólares en valor total. Esto significa que este valor es esencialmente intocable durante 10 horas varias veces al mes.

La vulnerabilidad también podría ser explotada por un actor malintencionado para poder secar repetidamente múltiples reservas de recompensas utilizando grandes cantidades de tokens LP y así mantener los fondos de otros usuarios como rehenes hasta la siguiente recarga por parte de los desarrolladores.

Respuesta de SushiSwap

Tras descubrir el fallo, el hacker blanco se dirigió confidencialmente a SushiSwap para informarle del fallo, quien a su vez le dijo que lo registrara en la principal plataforma de recompensas por fallos para blockchain, Immunefi. SushiSwap ha registrado una recompensa de 1,25 millones de dólares con el programa que dice que los hackers son elegibles para un pago de 40.000 dólares para la captura de errores espeluznantes en el intercambio.

Sin embargo, el hacker dijo que SushiSwap cerró el informe sin arreglar el fallo ni pagar la recompensa, diciendo que sabían del fallo durante la implementación. Por lo tanto, el hacker concluyó que SushiSwap planificó e introdujo la vulnerabilidad que podía bloquear y costar millones de dólares a los usuarios y luego se negó a arreglarla.

About Author

I am a finance journalist and inspiring technopreneur with three years of experience in blockchain/crypto info dissemination. I write to inform both existing and potential crypto technology adopters with an added commitment to contribute to the advanced realization of blockchain in real-life use cases.

Los comentarios están cerrados.