SushiSwap 开发人员不同意黑客的“十亿美元”漏洞发现

由匿名白帽黑客发布的 SushiSwap 漏洞报告已被流行的去中心化交易所背后的开发人员拒绝。

黑客和他在 SushiSwap 网络中的所谓漏洞首先是通过媒体报道曝光的。 同样，黑客声称用户可能会因这些威胁而承受超过 10 亿美元的资金损失。

黑客还承认仅在试图以保密方式提请 SushiSwap 开发人员注意此信息并没有采取任何行动后才将信息公之于众。

在报告中，黑客声称在 SushiSwap 的两个合约 MasterChefV2 和 MiniChefV2 中发现了“emergencyWithdraw 功能中的漏洞”。 这些合约管理交易所在非以太坊侧链上的 2x 奖励农场和池，例如 Binance Smart Chain、Polygon、Fantom、Avalanche 等。

EmergencyWithdraw 功能为使用 DeFi 服务的用户提供了一个安全网，基本上允许他们在紧急情况下立即撤回他们的流动性提供者 (LP) 代币，同时没收在那之前获得的任何奖励。

根据黑客的说法，此功能具有误导性，因为如果 SushiSwap 池中没有奖励，它就不会按预期工作。

如果奖池中的奖励枯竭，则必须由项目团队使用多重签名帐户手动填充，同时通常在截然不同的时区进行操作。 黑客认为，这可能导致等待时间超过 10 个小时，然后才能撤回代币。 报告进一步阐述，

“所有签名持有者同意重新填充奖励账户可能需要大约 10 个小时的时间，而且一些奖励池每个月会多次清空。 SushiSwap 的非以太坊部署和 2 倍奖励（均使用易受攻击的 MiniChefV2 和 MasterChefV2 合约）总价值超过 10 亿美元。 这意味着这个值在一个月内有几次 10 小时基本上是不可触碰的。”

但是，该平台的开发人员现在已经澄清了。 该平台的“Shadowy Super Coder” Mudit Gupta 在 Twitter 上强调，威胁本身“不是漏洞”，并补充说“没有资金面临风险”。

开发人员声称，与黑客的说法相反，如果出现紧急情况，“任何人”都可以为该池充值。 这使得黑客解释的 10 小时多重签名过程变得无关紧要。 古普塔进一步补充说，

“黑客声称有人可以投入大量 lp 以更快地耗尽奖励者是不正确的。 如果您添加更多 LP，每个 LP 的奖励就会减少。”

无论如何，黑客的意图似乎是“通过信任这些易受攻击的合约来教育当前和未来的 SushiSwap 用户他们所承担的风险”。 […]。” 事实上，白帽黑客还指责 SushiSwap 处理他们面前的事情太随便了。

“问题”首先是通过平台的漏洞赏金计划 Immunefi 提出的。 同样，SushiSwap 向报告其代码中存在风险漏洞的用户提供高达 40,000 美元的奖励。

然而，这个问题在 Immunefi 上没有得到补偿。

—-

原文链接：https://ambcrypto.com/sushiswap-dev-disagrees-with-hackers-billion-dollar-bug-finding

原文作者：Anjali Jain

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。