DeFi 兑币平台 Sushiswap 昨晚因智能合约中存在漏洞而损失近 1.5 万美金,而团队开发人员称得上反应迅速,核心成员 0xMaki 已联手开发人员修复漏洞,并将再次交由区块链安全机构 Peckshield 审查其更新代码。
Sushibar 漏洞连连
实际上 0xMaki 在先前已经注意到平台上存在微量诡异的 交易 ,但到了昨天,这些交易突然转变为工业级别的自动化交易,并自 Sushibar 0.05% 的手续费中获取约 1.5 万美金,而在 0xMaki 着手处理之际,网友 JuanSnow 发现了 0xMaki 试图与攻击者联系的 交易讯息 ,并在推特发布后事情才曝光。
0xMaki 在晚间发现漏洞后,立即联络了 yEarn 开发成员 Andy 以及 Coinbase 前智能合约工程师 Daniel Que 一同协助,并在经历了四个小时后厘清了攻击者是如何利用漏洞,并对此进行修复。Andy 指出:
攻击者透过包装的流动性代币(LP-xSushi)将其部署到新资金池,攻击者因而能以「诡异的逻辑」自手续费奖励中提取代币。
0xMaki 也在推特感谢两位开发人员的协助,并强调 LP-xSushi 的持有者非常安全,
Post-Mortem when I wake up, exploiter got around 10-15k so far from the 0.05% fees cut of Sushiswap.
LP – xSushi holders are safe!
It is a fascinating one thanks @andy8052 @danielque & sushi core devs for the quick reaction and help.
More soon! https://t.co/QmhNMTP28L
— 0xMaki 源 义経 (@0xMaki) November 29, 2020
而 0xMaki 今早也收到攻击者的回复,他看到了 0xMaki 试图与其联系的讯息,并表示:
我以为自己找到了一种聪明的方式能从旧合约中赚取一些 LP 代币,我不清楚这个合约是干嘛的,甚至不知道这是个漏洞,我对此感到非常抱歉。
据了解,攻击者无需归还资金,损失资金会归类为漏洞赏金,而 0xMaki 强调不会有任何用户承担损失,因为该笔资金原本是 LP 代币 xSushi 持有者的奖励,之后将由官方负担等值的 Sushi 代币并按比例分配给用户。
Sushi 表现回春
在 DeFi 挖矿热潮结束后,DeFi 系列币种皆迎来中大跌幅,先前的高利率也不复见,但在近期比特币的领涨下,表修都有所回升,Sushi 也未受此次漏洞事件影响,价格自 26 日的 1.04 上涨至截稿前的 1.53 美金,24 小时涨幅达 10.34%。
而先前 Uniswap 创世挖矿结束曾为 Sushiswap 的流动性带来利好,一度突破 10 亿美金,目前为 7.05 亿美金。但更有趣的是 Uniswap,在没有挖矿奖励的情况下,流动性仍有 16.9 亿美金,已经是没有奖励时期的五倍之多,第二期的挖矿提案则还在投票进行中。
衍伸阅读
立即加入 Telegram 获得最精准的金融科技资讯、区块链新知、业界实例!