ข่าว SushiSwap

White Hat Hacker ออกมาเตือน Sushiswap ถึงช่องโหว่ที่เกิดขึ้น

White Hat Hacker นิรนามได้ออกมาเผยแพร่รายงานโดยละเอียดเกี่ยวกับ SushiSwap โดยเขาได้อ้างว่าแพลตฟอร์มนั้นมีช่องโหว่ที่ทำให้เงินทุนของผู้ใช้งานอย่างน้อยหนึ่งพันล้านดอลลาร์ตกอยู่ในความเสี่ยง แต่ดูเหมือนว่าความพยายามที่จะให้นักพัฒนาของ SushiSwap แก้ไขจุดบกพร่องนั้นไม่เป็นผล เขาจึงตัดสินใจที่จะเปิดเผยข้อมูลนี้ต่อสาธารณะ

ช่องโหว่ของ SushiSwap

แฮ็กเกอร์หมวกขาวรายงานว่ามี “ช่องโหว่ภายในฟังก์ชัน EmergencyWithdraw ใน Smart Contract สองฉบับของ SushiSwap คือ MasterChefV2 และ MiniChefV2” โดย Smart Contract เหล่านี้รับผิดชอบฟาร์มรางวัล 2x ของ SushiSwap และ SushiSwap บนไซด์เชน เช่น Binance Smart Chain, Polygon, Factom, Avalanche เป็นต้น

SushiSwap MasterChefV2

SushiSwap MiniChefV2

 

โดยแฮ็กเกอร์รายนี้ได้อธิบายรายละเอียดของช่องโหว่ไว้ดังนี้

  • ฟังก์ชั่น EmergencyWithdraw นั้นอนุญาตให้ผู้ใช้ถอนเงินโดยไม่ต้องสนใจรางวัล แต่ฟังก์ชันนี้จะล้มเหลวหากไม่มีรางวัลใน Pools ของ SushiSwap
  • เพราะ Reward ที่ SushiSwap จ่ายให้กับผู้ถือ LP Token นั้นจะถูกเก็บไว้ในบัญชีอื่น และบางครั้งที่ Reward หมด ก็อาจจะต้องใช้เวลาประมาณ 10 ชั่วโมงในการเติม Reward กลับมาให้ Pools ที่ใช้เวลาในการเติมนานเนื่องมาจากการรอผู้ถือสิทธิทั้งหมดเพื่อยินยอมให้เติมบัญชีรางวัล ซึ่ง Reward ในบาง Pool นั้นก็หมดไปหลายครั้งต่อเดือน
  • ซึ่งในเวลาที่ Reward หมดไปจาก Pool ผู้ถือ LP Token จะไม่สามารถ “Stake, Snstake,Collect rewards หรือแม้แต่ใช้ฟังก์ชัน EmergencyWithdraw ได้” และนั้นก็หมายความว่า เงินทุนของผู้ใช้งานนั้นจะถูกล็อกไว้
  • และผู้ใช้งานจะต้องรอจนกว่าจะมีการเติม Reward ในครั้งถัดไป
  • และช่องโหว่นี้อาจนำไปสู่การถูกโจมตีโดยคู่แข่ง ซึ่งจะส่งผลเสียต่อผู้ใช้งานอย่างมหาศาล

การตอบสนองของ SushiSwap ต่อช่องโหว่ที่เกิดขึ้น

หลังจากค้นพบช่องโหว่ดังกล่าว White Hat Hacker ได้ออกมาอ้างว่าพวกเขาได้ติดต่อไปยัง SushiSwap เพื่อรายงานข้อผิดพลาดอย่างเป็นความลับเป็นที่เรียบร้อยแล้ว แฮ็กเกอร์ได้โพสต์ไปที่ Immuefi ซึ่งเป็นแพลตฟอร์มที่ให้คนเข้ามาค้นหาข้อผิดพลาดที่เกิดขึ้นบน SushiSwap แล้วแพลตฟอร์มจะจ่ายเงินรางวัลให้

แต่ในกรณีนี้ SushiSwap นั้นไม่จ่ายเงินรางวัลและยังไม่ได้แก้ไขช่องโหว่ที่เกิดขึ้น และแฮ็กเกอร์ยังกล่าวเป็นนัยอีกว่า “ปัญหาที่เกิดขึ้นนี้ มันดูเหมือนว่า Sushi นั้นเจตนาและตั้งใจทำให้เกิดช่องโหว่ที่อาจจะทำให้เกิดความเสียหายต่อผู้ใช้มากมายมหาศาล และพวกเขาก็ยังไม่ยอมที่จะแก้ไขมัน”

Coinfomania ติดต่อไปยัง SushiSwap เพื่อขอความคิดเห็นเกี่ยวกับช่องโหว่ที่ถูกกล่าวหา แต่ยังไม่ได้รับการตอบกลับ

อ้างอิง : LINK

To Top