Pertukaran terdesentralisasi (DEX) yang populer, SushiSwap telah menjadi korban eksploitasi pada hari Minggu (9/4) dan menyebabkan kerugian sekitar $3,3 juta hanya dari satu pengguna yang dikenal sebagai 0xSifu di twitter.
Menurut laporan perusahaan keamanan blockchain, Peckshield mengungkapkan bahwa eksploitasi tersebut terjadi karena adanya bug terkait persetujuan dalam kontrak RouterProcessor2.
Kepala Eksekutif SushiSwap, Jared Grey mengkonfirmasi kejadian tersebut, kemudian menyarankan agar para penggunanya untuk segera mencabut izin kontrak untuk mencegah kerugian lain.
Tidak pasti jumlah pengguna yang terpengaruh atas peretasan tersebut. Namun Peckshield telah mengidentifikasi setidaknya satu pengguna bernama 0xSifu telah menjadi korban dan kehilangan sekitar 1.800 ETH senilai $3,3 juta dolar.
Cybersecurity, Ancilia Inc. memberikan penjelasan teknis perihal bagaimana eksploitasi dapat terjadi pada SushiSwap.
“Akar penyebabnya adalah karena dalam fungsi swap() internal, ia akan memanggil swapUniV3() untuk menyetel variabel “lastCalledPool” yang ada di slot penyimpanan 0x00. Kemudian di fungsi swap3callback, pemeriksaan izin dilewati,” tulisnya melalui posting twitter.
3/ Root cause is because in the internal swap() function, it will call swapUniV3() to set variable "lastCalledPool" which is at storage slot 0x00. Later on in the swap3callback function the permission check get bypassed. pic.twitter.com/LN0Ppsob9a
— Ancilia, Inc. (@AnciliaInc) April 9, 2023