Une vulnérabilité a-t-elle était découverte par un hacker sur SushiSwap?

jeu 23 Sep 2021 ▪ 21h30 ▪ 4 min de lecture - par Clément Dubois

Le développeur de la plateforme d’échange décentralisée SushiSwap a réfuté la découverte d’une vulnérabilité hacker qui pourrait probablement coûter un milliard de dollars au protocole.

Dans la nuit du 22 au 23 septembre le soi-disant pirate blanc CryptoWilfred a publié sur son compte Twitter plusieurs posts relatifs à la détection d’une vulnérabilité sur la plateforme SushiSwap, susceptible de mettre en danger les cryptoactifs des utilisateurs équivalents à 1 milliard de dollars environ. Il a déclaré qu’il a décidé de rendre les informations publiques après que les tentatives de communiquer avec les développeurs SushiSwap n’ont mené à rien.

Le hacker prétend avoir découvert une vulnérabilité dans la fonction emergencyWithdraw dans les deux « Smart Contrats »  SushiSwap, MasterChefV2 et MiniChefV2 qui régissent l’emploi des fermes de la double déduction de la rémunération de la plateforme et des pools de déploiements SushiSwap sur Polygon, Binance Smart Chain et Avalanche.

La fonction emergencyWithdraw permet aux fournisseurs de liquidités de retirer immédiatement leurs cryptoactifs tout en perdant des récompenses en cas d’urgence. Cependant, le pirate affirme que cette fonctionnalité ne fonctionnera pas si le pool SushiSwap n’a pas de récompenses. La conséquence de cela pourrait être une longue attente pour les fournisseurs de liquidité du moment où le pool sera réapprovisionné manuellement, ce qui peut prendre environ dix heures. Ce n’est qu’après cela que le retrait des cryptoactifs sera disponible.

«Il faudra peut -être environ dix heures à tous les signataires pour consentir à la recharge du compte de récompenses, et certains pools de récompenses se retrouvent vides plusieurs fois par mois», a déclaré le pirate informatique. 

«Le déploiement de SushiSwap sans l’utilisation d’Ethereum et le double de la rémunération (tous vulnérables contracts MiniChefV2 et MasterChefV2) contiennent des cryptoactifs d’une valeur de plus de 1 milliard de dollars. Cela signifie que tout cet argent peut être en effet bloqué pour les utilisateurs pendant dix heures, plusieurs fois par mois».

L’un des développeurs anonymes de SushiSwap a tweeté que la menace «ne constitue pas une vulnérabilité» et que l’argent des utilisateurs est en sécurité. Il a expliqué que tout détenteur de signature peut reconstituer le pool de récompenses en cas d’urgence, en contournant la majeure partie du processus multi-signatures de dix heures. 

La déclaration du développeur est la suivante:

«L’affirmation du pirate selon laquelle quelqu’un pourrait ajouter de nombreux fournisseurs de liquidité pour obtenir des récompenses plus rapidement est fausse. Plus il y a de fournisseurs de liquidité, moins il y a de récompense pour chacun »

Le pirate informatique a déclaré avoir parlé d’une vulnérabilité bilité sur la plateforme de détection de bugs Immunefi, où SushiSwap propose de payer une récompense pouvant aller jusqu’à 40 000 dollars pour les rapports de bugs critiques dans le protocole. Cependant, l’application a été fermée sans paiement de récompense – les développeurs de SushiSwap ont répondu qu’ils étaient conscients de la situation.

La semaine dernière, les développeurs de la plateforme d’échange décentralisée SushiSwap ont rapporté que 864 Ethereum avaient été volés à la suite d’une attaque à la plateforme de vente de tokens MISO. 

Auparavant, des vulnérabilités avaient déjà été identifiées sur la plateforme MISO. En août, SushiSwap a échappé à un piratage de 365 millions de dollars grâce à un «hacker blanc».

Clément Dubois

J’aime bien la cryptomonnaie. Ça fait déjà plusieurs années que je l’étudie, mais aussi que j’y investis et que je travaille dans ce domaine. De plus, je fais des articles sur le sujet où j’essaie d’être clair et net !

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.