" По данным разведки Slow Mist Zone, SushiSwap подвергся длительной повторяющейся атаке. Злоумышленник использовал пару DIGG и WETH для обеспечения начальной ликвидности и получения сверхприбыли. По словам пользователя simp2win атака продолжалась последние два месяца и затронула средства, которые оцениваются им в 10 миллионов долларов.
bobby boutelop please write up a rekt and give sushi shorts the genkidama power.@bneiluj @RektHQ pic.twitter.com/NkOvw2fyWB
— simp2win (@Simp2win) January 26, 2021
«Почему ни одна из говорящих голов SUSHI за последние 2 месяца... не сообщила об эксплойте, который продолжался в течение этих 2 месяцев и привел к использованию средств на сумму более 10 миллионов долларов из контрактов SUSHI? Бобби, пожалуйста, напишите результаты вскрытия и придайте шортам суши силу Генкидамы¹», - написал simp2win.
Проблема в том, что комиссия за транзакцию торговой пары DIGG-WBTC была снята злоумышленником с помощью специальных средств. Эта атака похожа на первую атаку SushiSwap. Обе они приносят прибыль, манипулируя биржевой ценой торговой пары, но процесс отличается. Первая атака заключалась в том, что злоумышленник создал атаку, используя сам токен LP и другие токены для того, чтобы пара оставалась для него прибыльной, манипулируя ценой этой новой торговой пары, путем изменения ее начальной ликвидности.
Эта атака использует сам DIGG без торговой пары WETH, и злоумышленник создает эту торговую пару, и начальная цена транзакции была изменена, что привело к огромному проскальзыванию во время процесса обмена комиссионных. Злоумышленникам нужно использовать только небольшое количество DIGG и WETH для обеспечения начальной ликвидности и получения огромной прибыли.
Успокаивать сообщество пришлось пользователю твиттера по имени Keno, который сообщил, что ситуация разрешилась более 10 часов назад. По его словам, никакие средства провайдеров ликвидности не пострадали, и пользователям не нужно предпринимать никаких действий.
The situation has been resolved more than 10 hours ago. No LP funds have been affected and users do not have to take any action.
With the addition of new pairs in Onsen, a few non-ETH pairs were added, but no "bridge" was setup in the SushiMaker for DIGG/WBTC. 1/4
— Keno (@KenoBudde) January 26, 2021
«С добавлением новых пар в Onsen было добавлено несколько пар, отличных от ETH, но в SushiMaker не было настроено никакого «моста» для DIGG/WBTC. SushiMaker - это контракт, который берет 0,05% торговых сборов и передает их пользователям, которые сделали стекинг SUSHI как xSUSHI, чтобы заработать дополнительные награды SUSHI без непостоянных потерь. По умолчанию SushiMaker продает накопленные комиссии (и их пары) в ETH, а затем в SUSHI.
Цель моста состоит в том, чтобы, когда SushiMaker продает комиссию за актив без пары ETH, он мог сделать это чему-то другому, кроме ETH, имеющему соответствующую ликвидность. Без моста можно было бы добавить ликвидность для создания пары ETH, с помощью которой SushiMaker попытается преобразовать комиссию за этот актив, что впоследствии сильно повлияет на цену из-за небольшого количества ликвидности. В конечном итоге это приводит к тому, что SushiMaker «обслуживает» этот актив, чтобы вознаграждать поставщиков ликвидности за эти пары в ETH, а не участников xSUSHI.
Никакие базовые позиции LP или xSUSHI не затронуты, и только прибыль от затронутого актива (0,05% комиссии за свопы DIGG/WBTC) от предыдущего обслуживания до этого обслуживания была потеряна для участников xSUSHI. Мы установили мост для DIGG через мейкерский контракт на решение этой проблемы для участников xSUSHI. Эта проблема с комиссией DIGG-WBTC сохранялась чуть более 26 часов. Часть комиссии WBTC была конвертирована правильно, часть DIGG - нет. Ни в коем случае не пострадали средства пользователей, так как контракт SushiMaker получает только долю комиссии, которая принадлежит держателям xSUSHI», - написал Keno.
Согласно предыдущим новостям, в ноябре 2020 года управляющий сообщества SushiSwap (SUSHI) 0xMaki заявил, что кто-то получил прибыль в размере от 10 000 до 15 000 долларов США за счет уязвимости SushiSwap, а средства пользователей в безопасности.
¹Персонаж аниме.
