Bei der dezentralen Börse SushiSwap DEX gab es einen Sicherheitsvorfall bei dem Angreifer einen Smart Contracts kompromittiert haben. Benutzer erleiden teilweise Schäden von bis zu 3,3 Millionen US-Dollar.
Der Benutzer Sifu hat bei diesem Hack über 1.800 ETH verloren, was einen aktuellen Gegenwert von knapp 3,3 Millionen US-Dollar entspricht. Anscheinend sind vor allem Kunden der Plattform der letzten 4 Tage betroffen, also ab etwa 5. April.
SushiSwap, die dezentrale Börse, wurde gehackt.
Smart Contract wurde gehackt und kompromittiert
Der Smart Contract „RouteProcess02“ bei SushiSwap hat die Aufgabe Liquidität aus verschiedenen Quellen zu aggregieren und dadurch günstige Tauschpreise für Coins zu finden. Dazu ist der Smart Contract mit verschiedenen Netzwerken verbunden. Hacker haben sich das zu Nutzen gemacht und den Vertrag aktiv angegriffen und kompromittiert.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
Der Vertrag kommt auch in der Polygon-Blockhain vor. Dabei handelt es sich um eine Layer-2-Blockchain der Ethereum-Blockchain. Wer in Zukunft hier Ethereum kaufen oder tauschen will, sollte sich daher genau informieren.
@SushiSwap you should take a look.
— Ancilia, Inc. (@AnciliaInc) April 9, 2023
In einem Tweet (siehe oben) haben die Sicherheits-Spezialisten bei Ancilia die Ursache des Fehlers identifiziert und SushiSwap darauf hingewiesen:
Ancilia Inc zum Angriff auf SushiSwap: „Die Ursache liegt darin, dass in der internen swap()-Funktion swapUniV3() aufgerufen wird, um die Variable „lastCalledPool“ zu setzen, die sich am Speicherplatz 0x00 befindet. Später in der swap3callback-Funktion wird die Berechtigungsprüfung umgangen.“
Großer Teil des Hacks bei SushiSwap kann rückgängig gemacht werden
Dem Team bei Sushisawp ist es aber gelungen einen großen Teil der gestohlenen Coins wiederzubeschaffen. Betroffene User können dazu eine Mail an [email protected] schreiben, um mehr über weitere Schritte zu erfahren.
https://twitter.com/SushiSwap/status/1645310983353819136
Aktuell sind 300 ETH von Sifu wiederhergestellt, weitere 700 ETH lassen sich in Zusammenarbeit mit Lido wiederherstellen. Mittlerweile haben die Entwickler bei Sushiswap jegliche Exposition gegenüber RouterProcessor2 aus dem Frontend entfernt.
Matthew Lilley, CTO bei SushiSwap sagt dazu: „Alle LPing- und aktuellen Swap-Aktivitäten sind sicher„.
Dezentrale Börsen und andere Krypto-Akteure sind derzeit im Fokus der SEC
Krypto-Börsen werden immer mal wieder angegriffen. Dezentrale Börsen sind hier besonders anfällig, weil es häufig keine internen Spezialisten gibt, welche die Sicherheit der Börsen ständig im Auge behalten. Aus diesem Grund sollten Krypto-Kunden hier genau überprüfen, wo sie ihre Coins handeln.
Brisant ist der Hack vor allem auch darum, weil vor allem in den vereinigten Staaten von Amerika derzeit dezentrale Börsen und starker Beobachtung stehen. Daher haben die Verantwortlichen bei ShushiSwap eine Vorladung der Securities and Exchange Commission (SEC) erhalten.
In den letzten Monaten gab es immer wieder Probleme bei der Zusammenarbeit von Behörden in den USA mit Krypto-Börsen und Brokern wie Coinbase oder Binance.
Nach Meinung der großen Krypto-Börsen ist der hauptsächliche Grund für ständige Gerichtsverfahren, dass es in den USA keine fest definierten Regeln für den Umgang mit Krypto-Währungen gibt, sondern SEC und Co auf Basis von Untersuchungen und Gerichtsverfahren versuchen Regeln zu definieren.
So wie es aussieht, droht also auch Sushiswap Ärger durch die US-Behörden, auch wenn die Untersuchungen aktuell noch nicht zu offiziellen Anklagen geführt haben.