افشاگری هکر صرافی سوشی سوآپ SushiSwap - آسیب پذیری قرارداد

در روز یکشنبه (20 فروردین 1402)، طی گزارشات به دست آمده متوجه شدیم که قرارداد " RouteProcessor2 " صرافی سوشی سوآپ مورد تجاوز قرار گرفت، که منجر به از دست رفتن بیش از 3.3 میلیون دلار شد. 

در یک مصاحبه اختصاصی با هکر کلاه سفید با نام مستعار Trust، جزئیات مهمی از هک اخیری که به واسطه آسیب پذیری قرارداد  RouteProcessor2 انجام شده بود، منتشر شد. این هکر (Trust)، توانست مقدار قابل توجهی از سرمایه کاربران را با اقدام به یک هک پیشگیرانه، در روز یکشنبه روی وجوهی که توسط Sifu نگه داری می‎‎‎‎‎‎شد انتقال دهد. اما پس از انتقال وجه به یک حساب امن، آن را بازگرداند. 

متاسفانه عوامل مخرب از این حرکت تقلید کردند و از آسیب پذیری قرارداد دربرابر سایر دارندگان سؤاستفاده کردند. 

سوشی سوآپ SushiSwap مورد حمله پیشرفته قرار گرفت 

Trust توضیح می‎‎‎‎‎‎دهد که قرارداد RouteProcessor2 که تنها 4 روز از اجرای آن می‎‎‎‎‎‎گذشت، برای نظارت بر انواع مختلف SUSHI طراحی شده است. کاربران قرارداد را برای پرداخت توکن های ERC-20 از قبل تعیین می‎‎‎‎‎‎کنند و سپس تابع ()Swap را برای اجرای تبادل فراخوانی می‎‎‎‎‎‎کنند. بااین حال قرارداد با استخر های UniSwapV3 به گونه غیرایمن تعامل دارد، چراکه کاملا به آدرس استخر ارائه شده توسط کاربر اعتماد دارد. 

این نظارت به یک استخر بد اجازه می‎‎‎‎‎‎دهد اطلاعات نادرستی درباره منبع و مبلغ انتقال ارائه دهد.  و به هر کاربری این امکان را می‎‎‎‎‎‎دهد که یک مبادله جعلی انجام دهد و به کایل مبلغ تایید شده کاربر دیگر، دسترسی پیدا کند.

Trust اظهار داشت : این آسیب پذیری باید توسط هر مؤسسه حسابرسی معقولی شناسایی می‎‎‎‎‎‎شد.

چرا Trust اقدام به هک پیشگیرانه کرد

1- این هکر یکساعت پیش از اقدام به سرقت، گزارش کاملی از آسیب پذیری را ارسال کرده بود. اما هیچ پاسخی دریافت نکرده بود. 

2- این هکر می‎‎‎‎‎‎ترسید که تیم توسعه دهنده در آخر هفته در دسترس نباشند. 

3- آن ها می‎‎‎‎‎‎دانستند که قرارداد قابل اصلاح نیست. و تنها می‎‎‎‎‎‎شود آن را هک کرد و یا تاییدیه های کاربران را لغو کرد. 

در نهایت آن ها صرفه جویی در یک آدرس واحد را که اکثر صندوق هارا در معرض خطر قرار می‎‎‎‎‎‎دهد (آدرس Sifu) در اولیت قرار دادند. Trsut همچنین پیچیدگی ربات های MEV را در این وضعیت پیش بینی نکرده بود. 

با توجه به این افشاگری، ارزیابی مجدد شیوه های امنیتی و اولیت بندی ممیزی های کامل قراردادهای هوشمند برای جامعه کریپتو، برای جلوگیری از سوءاستفاده از این آسیب پذیری ها، حیاتی است. 

اقدامات Trust نشان دهنده اهمیت هکرهای کلاه سفید در اکوسیستم است، که برای محافظت از سرمایه کاربران و همچنین بهبود امنیت تلاش می‎‎‎‎‎‎کنند.