DeFi-протокол SushiSwap потерял $15 000 из-за эксплойта, который был успешно задействован прошлой ночью.
Как объяснил ведущий разработчик проекта 0xMaki, первую микротранзакцию организатор атаки осуществил 2-3 дня назад, а вчера поставил их «на поток». 0xMaki признается, что сначала отвергал факт атаки, однако после непродолжительного изучения транзакций пришел к выводу, что они осуществляются необычным пользователем.
Поиск и исправление уязвимости заняли 3-4 часа. Большую часть времени пришлось потратить на ее воспроизведение, так как изначально разработчик не понимал, что именно происходит. Он также сообщил, что сначала был вынужден работать в одиночку, так как остальная часть команды была недоступна в выходной.
Сумма ущерба оказалась относительно небольшой – $15 000. Как объяснил 0xMaki, это связано с тем, что вектор атаки заключался в краже комиссионных доходов участников платформы, которые не превышают $20 000 – 30 000 в день. Недостающие средства будут выплачены пользователям из фонда проекта.
«Я крайне впечатлен! Меня будоражат все эти взломы/эксплойты, которые происходят даже несмотря на надежные аудиты. Всегда находится сценарий, который мы не могли предусмотреть. Это делает экосистему более устойчивой и сильной», – заявил 0xMaki, добавив, что организатор атаки полностью заслужил присвоенных средств в качестве награды за выявление проблемы.
Разработчик также сообщил, что организатор не создавал специальный аккаунт для взлома, а использовал свой личный кошелек. Это позволило установить, что он является держателем Synthetix (SNX) и ETH. 0xMaki назвал предполагаемого хакера, но тот после личного обращения заявил, что не причастен к произошедшему.