SushiSwap 的 RouterProcess2 合約因出現審批相關漏洞,在昨日遭到駭客攻擊損失 330 萬美元。官方今日發布 攻擊更新公告,表示已通過白帽安全流程追回 300 ETH,正制定返還資金計畫。
(前情提要:SushiSwap因漏洞遭駭 330 萬鎂!官方:快撤銷各鏈RouteProcessor2合約授權)
(背景補充:狙擊交易所》SushiSwap收到「美國SEC傳票」!DAO提案300萬USDT辯護基金)
去中心化交易所 SushiSwap 的 RouterProcess2 合約,昨日因出現審批相關漏洞,遭到駭客攻擊,導致 Frog Nation 前財務長 0xsifu 蒙受 330 萬美元(約 1800 枚 ETH)損失。當時 SushiSwap 官方隨即呼籲,用戶應盡快撤銷在 ETH、BSC、Polygon、AVAX、FTM 鏈上對此合約的批准。
而在攻擊事故發生一天過後,SushiSwap 官方在今日發布 RouteProcessor2 漏洞更新公告,闡述了此事故的原因,以及後續正進行的補救行動:
發生了什麼:
• Sushi 的 RouteProcessor2 合約中存在一個審批漏洞,並遭受攻擊,錢被從用戶的錢包中盜走
• 沒有其他合約受到影響
• Sushi 的流動性是安全的Sushi 團隊正在做什麼:
• 開發團隊正識別所有受 RouteProcessor2 漏洞影響的地址
• 團隊正展開多項白帽復甦行動,以營救資金,並且當/若資金可用於營救時,這一努力將繼續。
• 團隊正制定返還獲救資金的計劃,在完成後,將通過 Sushi 推特、 Discord 上的公告來傳達。
• 團隊正撰寫事後剖析報告
🍣 WHAT THE SUSHI TEAM IS DOING
• The dev team are identifying all addresses that have been affected by the RouteProcessor2 exploit.
• Several whitehat recoveries are underway to rescue funds and this effort will continue when/if funds become available to rescue.
— Sushi.com (@SushiSwap) April 10, 2023
同時 SushiSwap 官方再次呼籲,可前往 sushi.com/swap/approvals 查看是否批准過 RouteProcessor 2 合約授權,假如已批准,需要盡快撤銷,而倘若資金被盜,可檢查資金是否流向 0x74Ebb8e8d0B0cc65F06040EB0f77B5DA0e33fFeE 地址。
倘若資金流向該地址,意味著已被 Sushi 救出,很快就會歸還給用戶,但若是資金是流向其他地址,意味著很可能已被盜,用戶可將詳細資訊發送至 security@sushi.com 來求助。
0xsifu 被盜 300 多枚 ETH 已追回
SushiSwap 執行長 Jared Grey 此前表示,Sushi 已在白帽安全流程中保護了大部分受影響的資金,Sushi 已確認從 CoffeeBabe 中追回了 300 多枚 ETH 的 0xsifu 被盜資金,並正就 700 枚 ETH 被盜資金與 Lido 團隊聯繫。
We've confirmed recovery of more than 300ETH from CoffeeBabe of Sifu's stolen funds. We're in contact with Lido's team regarding 700 more ETH.
— Jared Grey (@jaredgrey) April 9, 2023
Scam Sniffer 數據顯示,目前仍有 758 個地址未撤銷 SushiSwap 合約漏洞的相關授權,其中,Arbitrum 網路達 423 個,Polygon 達 138 個、以太坊有 92 個、Optimism 有 53 個、BNB Chain 有 36 個、Fantom 有 16 個。
📍相關報導📍
Coinbase宣布Base上線Uniswap、Aave,預告再推Sushiswap、ChainLink協議