El desarrollador de SushiSwap no está de acuerdo con el hallazgo de un error de ‘mil millones de dólares’ del hacker

Un informe de vulnerabilidad de SushiSwap publicado por un hacker de sombrero blanco anónimo ha sido rechazado por los desarrolladores detrás del popular intercambio descentralizado.

El pirata informático y sus supuestas vulnerabilidades dentro de la red de SushiSwap salieron a la luz por primera vez a través de informes de los medios. Del mismo modo, el pirata informático afirmó que los usuarios podrían sufrir pérdidas de fondos por valor de más de mil millones de dólares debido a estas amenazas.

El hacker también aceptó hacer pública la información solo después de que los intentos de llamar la atención de los desarrolladores de SushiSwap de manera confidencial no dieron como resultado ninguna acción.

En el informe, el pirata informático afirmó haber encontrado una «vulnerabilidad dentro de la función EmergencyWithdraw en dos de los contratos de SushiSwap, MasterChefV2 y MiniChefV2». Estos contratos rigen las granjas y grupos de recompensas 2x del intercambio enEthereum cadenas laterales como Binance Cadena inteligente, Polígono, Fantom, Avalanche, entre otros.

La función EmergencyWithdraw proporciona una red de seguridad a los usuarios que utilizan los servicios DeFi, lo que esencialmente les permite retirar inmediatamente sus tokens de Proveedor de Liquidez (LP) en caso de una emergencia y perder las recompensas obtenidas hasta ese momento.

Según el pirata informático, esta función es engañosa, ya que no funcionaría como se esperaba si no se mantienen recompensas dentro del grupo de SushiSwap.

Si las recompensas en el grupo se agotan, el equipo del proyecto debe completarlas manualmente mediante el uso de una cuenta de firmas múltiples mientras que a menudo se opera desde zonas horarias muy diferentes. El pirata informático cree que esto podría dar lugar a tiempos de espera de más de 10 horas, antes de que se puedan retirar los tokens. El informe más elaborado,

“Puede tomar aproximadamente 10 horas para que todos los titulares de firmas den su consentimiento para recargar la cuenta de recompensas, y algunos grupos de recompensas están vacíos varias veces al mes. Las implementaciones de SushiSwap que no son de Ethereum y las recompensas 2x (todas usando los contratos vulnerables MiniChefV2 y MasterChefV2) tienen más de $ 1 mil millones en valor total. Esto significa que este valor es esencialmente intocable durante 10 horas varias veces al mes «.

Sin embargo, los desarrolladores de la plataforma ahora han presentado un aclaración. El «Shadowy Super Coder» de la plataforma, Mudit Gupta, recurrió a Twitter para enfatizar que la amenaza en sí «no es una vulnerabilidad», y agregó que «no hay fondos en riesgo».

El desarrollador afirmó que, contrariamente a lo que afirma el pirata informático, el grupo puede ser recargado por «cualquier persona» en caso de que haya una emergencia. Esto hace que el proceso de firma múltiple de 10 horas explicado por el hacker sea irrelevante. Gupta agregó además,

“La afirmación del pirata informático de que alguien puede poner una gran cantidad de lp para agotar el recompensador más rápido es incorrecta. La recompensa por LP disminuye si agrega más LP «.

En cualquier caso, la intención del hacker parece haber sido “educar a los usuarios actuales y futuros de SushiSwap sobre los riesgos que están tomando al confiar en estos contratos vulnerables […]. » De hecho, el hacker de sombrero blanco también acusó a SushiSwap de manejar el asunto que tenían ante ellos con demasiada indiferencia.

El «problema» se planteó por primera vez a través del programa de recompensas por errores de la plataforma, Immunefi. Del mismo modo, SushiSwap ofrece pagar recompensas de hasta $ 40,000 a los usuarios que reporten vulnerabilidades de riesgo en su código.

Sin embargo, el problema se cerró para Immunefi sin compensación.

Esta es una traducción automática de nuestra versión en inglés.