Der White-Hat-Hacker ist nach eigenen Angaben an die Öffentlichkeit gegangen, nachdem SushiSwap nicht auf die Schwachstelle reagiert hatte
SushiSwap hat eigenen Angaben zufolge zurückgewiesen, dass die dezentrale Börsenplattform (DEX) von einer großen Sicherheitslücke bedroht ist, durch die mehr als 1 Milliarde Dollar an Nutzergeldern gestohlen werden könnten.
Einem Hacker zufolge sieht die Funktion zwar die Abhebung von Liquiditätsanbieter-Token (LP-Token) vor, versagt aber nachweislich, wenn der SushiSwap-Pool keine Belohnungen enthält.
Der Hacker behauptete, dass es fast 10 Stunden dauert, bis das Reward-Konto wieder aufgefüllt ist, wobei der manuelle Prozess mehrmals im Monat stattfindet. Somit sind über 1 Milliarde Dollar an Benutzergeldern für etwa 10 Stunden in Gefahr.
Laut dem Entwickler Mudit Gupta ist die Plattform jedoch derzeit nicht durch eine Sicherheitsbedrohung gefährdet, und die Gelder der Nutzer sind sicher. Als Reaktion auf die Angaben des White-Hat-Hackers auf Twitter teilte der Shadowy Super-Coder mit:
"Dies ist keine Sicherheitslücke. Keine Gelder in Gefahr. Wenn dem Belohner die Belohnungen ausgehen, wird das Abheben von LP fehlschlagen, aber jeder (nicht nur Sushi) kann den Belohner im Notfall wieder aufladen."
Der Entwickler weist darauf hin, dass die Zeitleiste von 10 Stunden, auf die der White-Hat-Hacker hinweist, nicht in Stein gemeißelt ist und dass, da jeder den Pool wieder auffüllen kann, keine Gefahr besteht, wenn dem Rewarder das Geld ausgeht.
Der SushiSwap-Entwickler teilt außerdem mit, dass die Behauptung, ein böswilliger Akteur könne den Rewarder durch Überflutung mit LP "leeren", nicht korrekt sei. Er stellte klar, dass die pro Liquiditäts-Token zugewiesenen Belohnungen reduziert werden, wenn mehr LP hinzugefügt werden.
Die Mitteilungen folgen auf eigene Angaben eines anonymen White-Hat-Hackers, der zwei Schwachstellen auf der SushiSwap-Plattform festgestellt hat. Dem Hacker zufolge gefährdet die emergencyWithdraw-Funktion des dezentralen Finanzprotokolls (DeFi) im Zusammenhang mit den Verträgen MasterChef v2 und MiniChef v2 die Benutzer, da sie nicht wie vorgesehen funktioniert.
Die fraglichen Verträge enthalten Rewards und LP-Token-Pools, die auf Plattformen wie Binance Smart Chain (BSC), Avalanche und Polygon gehostet werden.
SushiSwap hat nach eigenen Angaben keine offizielle Stellungnahme zu den Vorwürfen abgegeben, wird aber sicherlich versuchen, den Nutzern die Sicherheit ihrer Fonds zu versichern, da es im DeFi-Sektor in letzter Zeit mehrere Angriffe gegeben hat.