Le protocole de finance décentralisée (DeFi) SushiSwap a été victime d’une attaque de hacker ayant entraîné des pertes évaluées à plus de 3 millions de dollars. La situation se serait produite au cours des premières heures du 9 avril à cause d’un bug se trouvant dans un smart contract selon plusieurs rapports de sécurité rapporté sur Twitter.
SushiSwap, victime d’un hack, perd plus de 3 millions de dollars
La plateforme d’échange de crypto décentralisée SushiSwap est la dernière victime en date d’une attaque pirate. Ce hack, tiré d’un exploit, a entraîné la perte de plus de 3,3 millions de dollars de la part d’au moins un utilisateur, connu sous le nom de 0xSifu sur Twitter.
Ce sont les sociétés de sécurité spécialisées dans la blockchain CertiK Alert et Peckshield qui ont été les premières à signaler le problème. Depuis leurs comptes officiels sur Twitter, elles ont signalé qu’une activité inhabituelle était en cours au niveau de la fonction d’approbation du contrat Router Processor 2 de Sushi.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
— PeckShield Inc. (@peckshield) April 9, 2023
Ce dernier est un smart contract qui a pour but de réunir les liquidités des échanges à partir de sources multiples et d’identifier le prix le plus favorable pour l’échange des crypto-monnaies sur la plateforme.
Selon les analyses de la compagnie de sécurité Ancilia Inc., la cause principale du bug se retrouve au sein du smart contract. En l’espace de quelques heures, le bug du a entraîné des pertes d’environ 3,3 millions de dollars.
Cependant, d’après les informations publiées par 0xngmi, développeur de DefiLlama, le hacking ne devrait affecter que les utilisateurs qui ont procédé à des transactions sur la plateforme au cours des quatre derniers jours.
🚨 Update on the status of the RouteProcessor2 bug
🧵A summary below on: what happpened, what the team is working on and what you can do.
‼️ Also, beware of fake DMs of scammers reaching out to you. SUSHI TEAM/SUPPORT DOES NOT DM FIRST.
Talk to us @ https://t.co/cGda2UVpAh
👇🏻
— Sushi.com (@SushiSwap) April 10, 2023
Dans le même temps, le développeur en chef de SushiSwap, Jared Grey, a exhorté tous les utilisateurs à révoquer les permissions relatives à tous les contrats présents sur le protocole. Il est également possible de trouver sur la plateforme GitHub une liste de contrats avec différentes blockchains nécessitant une révocation.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Récupération des fonds dérobés : Une fin heureuse ou désastre ?
S’il est vrai que la plateforme a effectivement été victime d’un vol, ce dernier n’a pas duré longtemps. Seulement quelques heures après l’incident, Jared Grey s’est à nouveau présenté sur Twitter pour annoncer qu’une grande partie des fonds affectés avait été récupérée grâce à un processus de sécurité utilisé par les white hats.
Some quick notes on @SushiSwap, post-exploit.
1. You can now safely swap/trade on Sushi.
2. We've removed the exploited contract.
3. Please confirm you've removed approvals for the exploited RouteProcessor2 contract here: https://t.co/8BKQ2FSF0f— Jared Grey (@jaredgrey) April 9, 2023
Selon ses propres termes, il a affirmé que son équipe avait récupéré de plus de 300 Ethereum des fonds volés à CoffeeBabe par Sifu. Ils demeurent par ailleurs en contact avec l’équipe de Lido concernant 700 ETH supplémentaires qui sont toujours dans la nature.
Cependant, il est clair que la communauté de SushiSwap a vécu un week-end de Pâques particulièrement intense. Le 8 avril, Grey et son avocat avaient eu à se prononcer sur la récente citation à comparaître de la Securities and Exchange Commission des États-Unis portée à leur encontre.
Ainsi, Grey a précisé que l’enquête de la SEC est une enquête non publique dont le but est de déterminer s’il y a eu des violations des lois fédérales en rapport avec les valeurs mobilières. Toutefois, la SEC n’aurait pas encore tiré de conclusions jugeant qu’une personne affiliée à Sushi aurait violé ces lois fédérales. Il a également affirmé être disposé à coopérer pour faire évoluer l’enquête.
Source : Cointelegraph
Sur le même sujet :
- Découvrez pourquoi SushiSwap vient de mettre fin à ses services de lending et à son launchpad !
- SushiSwap publie sa feuille de route pour 2023
- Piratage de Safemoon : le hacker s’en va avec 8.9 millions de dollars !
Partager
Emmanuel Mounier
Expert en Crypto-monnaie
