Sushi DEX Approval Contract Dieksploitasi Senilai $3,3 Juta

Smart contract on decentralized finance (DeFi) Sushi Exchange dieksploitasi pada Minggu pagi menurut postingan twitter, Jared Grey

Additionally, from Peckshield, revoke all chains:https://t.co/GcCuY0OEb5
— Jared Grey (@jaredgrey) April 9, 2023

Eksploitasi secara khusus melibatkan kontrak ‘RouterProcessor2’, yang digunakan untuk melakukan trade routing di bursa SushiSwap.

“Tampaknya SushiSwap RouterProcessor2 memiliki bug terkait persetujuan, yang menyebabkan kerugian >$3,3 juta,”

Akun cybersecurity menambahkan bahwa “nanti di fungsi swap3callback, pemeriksaan izin akan dilewati.”

3/ Root cause is because in the internal swap() function, it will call swapUniV3() to set variable "lastCalledPool" which is at storage slot 0x00. Later on in the swap3callback function the permission check get bypassed. pic.twitter.com/LN0Ppsob9a
— Ancilia, Inc. (@AnciliaInc) April 9, 2023

Akar penyebabnya, menurut Ancilia, Inc. dan dalam istilah teknis, “adalah karena dalam fungsi swap() internal, ia akan memanggil swapUniV3() untuk menyetel variabel “lastCalledPool” yang ada di penyimpanan 0x00.”

Analis Riset Blok Kevin Peng menjelaskan bahwa, sejauh ini, 190 alamat Ethereum telah menyetujui kontrak yang bermasalah. Namun, lebih dari 2000 alamat di Layer 2 Arbitrum tampaknya telah menyetujui contract tersebut.