分散型取引所「SushiSwap」で4.4億円規模の不正流出|一部資金は回収済
Crypto Times 編集部
昨日、分散型取引所「SushiSwap」で脆弱性を突いた攻撃が行われ、約4.4億円(1800ETH相当)の損失が発生したことが報告されました。
Sushi’s RouteProcessor2 contract has an approval bug; please revoke approval ASAP. We’re working with security teams to mitigate the issue. https://t.co/WhXJfa5xD4
— Jared Grey (@jaredgrey) April 9, 2023
現在19個のチェーンに対応している分散型取引所のSushiSwapは、TVL(Total Valued Locked)として4.5億ドルを記録しているプロダクトで、EthereumやArbitrumがその大部分を占めています。*DeFiLlama参照
今回行われた攻撃は「RouterProcessor2」コントラクトの承認に起因しているとされており、流出した資金の大部分は「beaverbuild」や「Lido Finance」に送付。現在、影響を受けた資金の一部(300ETH)は回収が完了しており、Sushiチームはさらなる資金の回収を行うために、Lidoチームと協力し解決策を探っているとしています。
. @SushiSwap RouteProcessor2 was attacked, and sifuvision.eth @0xSifu lost 1800 ETH due to this. We tracked the stolen funds and presented them as follows.
The first attacker (0x9deff) has returned 90 ETH (of 100 stolen). BlockSec rescued 100 ETH and will return it shortly. The… https://t.co/sMqzNiDL5p pic.twitter.com/kGrt9cifIS— MetaSleuth (@MetaSleuth) April 9, 2023
4月10日午前7時に投稿されたSushiSwapのJared Grey氏のツイートによると、現在悪用されたコントラクトは削除済で「Sushiで安全にスワップ/トレードができるようになった」としています。
また、DeFi Llamaの0xngmi氏は、過去2週間にSushiSwapで行われた承認がすべて脆弱性を孕んでいる可能性があるため、リボークや資金の移動を行うべきだとユーザーに警告しています。
Correction: on some chains the contracts had been deployed for up to 2 weeks, but I’m not sure if they were added to frontend back then or later with all the other deployments
Best to be safe and assume that sushi approvals in last 2 weeks are all vulnerable
— 0xngmi (llamazip arc) (@0xngmi) April 9, 2023
今回のSushiSwapでの資金不正流出は、不適切なコールバック関数が設定されていたことが原因とされるなか、一部Twitterユーザーによると、SushiSwapのスマートコントラクトコードをChatGPTに学習させ指示したところ、今回の資金流出の原因となった箇所と同じ部分が、脆弱性として数秒で特定されたとしています。
In light of this event, it’s worth considering how the cutting-edge AI, ChatGPT, could have potentially saved SushiSwap from this exploit. As an experiment, I fed the smart contract code to ChatGPT, and within seconds, it identified the vulnerability that led to the attack. (3/8) pic.twitter.com/i5mkiIA28A
— Eye🪄swoosh (@eyeswoosh) April 9, 2023
先日、4月1日にUniswap V3のライセンスが失効したことを受け、SushiSwapがUniswap V3のフォークとなるSushiSwap V3をローンチしていたことが明らかとなりました。
関連:CT Analysis 『Uniswap v3の商用ライセンス失効の影響と直近の戦略分析』レポートを無料公開
Earlier today @DefiLlama leaked alpha re: @SushiSwap‘s newly deployed concentrated liquidity (CL) / V3 contracts ahead of official news. It’s only fair I leak more info… 👇 1/
— Jared Grey (@jaredgrey) April 6, 2023
今年1月に発表されたロードマップによると、SushiSwapチームは今後DEXアグリゲーションビジネスへの参入を予定しており、2022年にはステルスでアグリゲーションルーターの構築を行っていたとしています。
Euler Financeでの資金不正流出など、DeFi分野における不祥事が続くなか、今後さらなる規模拡大を狙うSushiの動向に注目が集まります。
2023年第1四半期の合計損失額は4.37億ドル、Immunefiが報告
記事ソース:Twitter、Medium