承認システムのバグにより、SushiSwap はイーサリアムで 330 万ドル以上を失う

スシスワップはイーサリアムで330万ドル以上を失う

ブロックチェーンセキュリティとデータ分析企業のペックシールド（PeckShield）は、スシスワップ（SushiSwap）のRouterProcessor2コントラクトの承認システムのバグにより、330万ドル（約4.3億円）以上に相当する1800以上のイーサリアム（Ethereum/ETH）トークンが失われたことを明らかにした。

It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.

If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!

One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q

— PeckShield Inc. (@peckshield) April 9, 2023

ペックシールドは、ハッキングがイーサリアム、バイナンススマートチェーン（Binance Smart Chain）、ポリゴン（Polygon）、アバランチ（Avalanche）、ファントム（Fantom）など、悪用されたコントラクトが展開する複数のチェーンに影響を与えたと指摘しており、同社は、影響を受けたアドレスをリストアップし、契約承認を直ちに取り消すようユーザーに助言しているとのこと。また、Sushi Swapのヘッドシェフであるジャレッド・グレイ（Jared Grey）氏がこの問題を認め、同社がセキュリティチームと協力してハッキングを緩和していると述べた。チームは、ハッキングの影響を受けたユーザー数を明らかにしていないものの、影響を受けた契約とやりとりした人だけが危険にさらされていることをユーザーに保証している。

We knew that @SushiSwap RouteProcessor2 was attacked. We evaluated possible damages in the past few hours and made this public only after we think it's safe : users' assets are always our first priority.

Btw: we rescued part of them and will release the details later.

— BlockSec (@BlockSecTeam) April 9, 2023

具体的には、過去4日間にSushiSwapでスワップしたユーザーは、ハッキングの影響を受けないよう、承認を元に戻すか、資金を新しいウォレットに移動することが勧められている。さらに、スマートコントラクト監査会社のBlockSecは、Sushi Swapへの攻撃を認識。公表前に考えられる損害を評価したと発表し、同社は、ユーザーの資産が最優先事項であり、その一部を救出したと述べ、その詳細は後日発表するとしている。さらに、同社は攻撃トランザクションをブロックし、18万ドル（約2,400万円）以上に相当する100ETHを救出したと主張。被害を受けたSushiSwap契約者に弁済のために手を差し伸べるよう促しているとのこと。

DeFiエコシステムの複数の問題を浮き彫りに

サイバーセキュリティ企業のAncillaは、「根本的な原因は、内部のswap()関数でswapUniV3()を呼び出し、ストレージスロット0x00にある変数 “lastCalledPool “を設定したことで、その後、swap3callback関数で権限チェックがバイパスされてしまうと述べた。

今回のハッキング事件は、ハッキングや悪用が比較的静かな年であったにもかかわらず、DeFiエコシステムの複数の問題を浮き彫りにしている。一方で、DeFiプラットフォームの分散型自律組織（DAO）が最近、SEC（米国証券取引委員会）に狙われていると報じており、それによると、DAOはコアな貢献者の訴訟費用を賄うため、法的防衛基金を設立しているとのこと。