Een white-hat hacker beweert het openbaar te hebben gemaakt nadat SushiSwap niet op de kwetsbaarheid had gereageerd
SushiSwap heeft de claims afgewezen dat het gedecentraliseerde uitwisselingsplatform (DEX) het risico op een grote beveiligingsinbreuk loopt waardoor er meer dan 1 miljard dollar aan gebruikersgelden gestolen kan worden.
Volgens een hacker is het zo dat terwijl de functionaliteit in het intrekken van Liquidity Provider (LP) tokens voorziet, dit blijkt te mislukken wanneer de SushiSwap pool geen beloningen bevat.
De hacker beweerde dat het bijna 10 uur duurt voordat deze beloningsaccount is bijgevuld, waarbij dit handmatige proces meerdere keren per maand plaatsvindt. Als zodanig wordt er meer dan 1 miljard dollar aan gebruikersfondsen gedurende een tijdsperiode van ongeveer 10 uur aan een risico blootgesteld.
Maar volgens de developer Mudit Gupta is het platform op dit moment niet kwetsbaar voor een veiligheidsbedreiging en zijn de gebruikersfondsen veilig. In reactie op de beweringen van de white-hat hacker op Twitter, merkte de Shadowy Super-Coder op:
“Dit is geen kwetsbaarheid. De fondsen lopen geen risico. Als de beloner geen beloningen meer heeft, dan zal het opnemen van LP mislukken, maar iedereen (dus niet alleen Sushi) kan de beloner in een noodgeval opwaarderen.”
De developer suggereert verder dat de tijdlijn van 10 uur die de white-hat hacker aangeeft niet in steen gebeiteld is en dat met iedereen die de pool kan aanvullen, er geen gevaar bestaat wanneer de beloner geen geld meer heeft.
De SushiSwap developer merkte bovendien op dat de beschuldigingen dat een slechterik de beloner kan ‘leegtrekken’ door deze met LP te overspoelen onjuist waren. Hij verduidelijkte dat de beloningen die per liquiditeitstoken toegewezen worden, verlaagd worden wanneer er meer LP toegevoegd wordt.
De claims volgden op wat een anonieme white-hat hacker in twee gevallen van kwetsbaarheden op het SushiSwap platform had geconstateerd. Volgens de hacker brengt de ‘emergencyWithdraw’ functie van het gedecentraliseerde financiële (DeFi) protocol die aan de MasterChef v2 en MiniChef v2 contracten gekoppeld zijn, haar gebruikers in gevaar omdat het niet naar behoren werkt.
De contracten in kwestie bevatten beloningen en de LP tokenpools die op platforms zoals Binance Smart Chain (BSC), Avalanche en Polygon gehost worden.
SushiSwap heeft nog geen officiële verklaring over de claims vrijgegeven, maar zal zeker proberen haar gebruikers van de veiligheid van de fondsen te verzekeren; dit aangezien het feit dat de DeFi sector onlangs van verschillende gevallen van aanvallen getuige is geweest.