SushiSwap 개발자는 해커의 ‘십억 달러’ 버그 발견에 동의하지 않습니다.

SushiSwap 취약점 보고서 출판 익명의 화이트 해커에 의해 인기 있는 탈중앙화 거래소의 개발자들에 의해 거부되었습니다.

SushiSwap 네트워크 내의 해커와 그의 의심되는 취약점은 언론 보도를 통해 처음으로 밝혀졌습니다. 동시에 해커는 사용자가 이러한 위협으로 인해 10억 달러 이상의 자금 손실을 감수할 수 있다고 주장했습니다.

해커는 또한 SushiSwap 개발자에게 비밀리에 이 사실을 알리려는 시도가 아무런 조치도 취하지 않은 후에야 정보를 공개하는 것을 인정했습니다.

보고서에서 해커는 “SushiSwap의 두 계약인 MasterChefV2 및 MiniChefV2에서 EmergencyWithdraw 기능 내에서 취약점을 발견했습니다.”라고 주장했습니다. 이 계약은 거래소의 2x 보상 팜과 비이더 리움 다음과 같은 사이드체인 바이낸스 스마트체인, 다각형, Fantom, Avalanche 등.

EmergencyWithdraw 기능은 DeFi 서비스를 사용하는 사용자에게 안전망을 제공하여 기본적으로 긴급 상황 발생 시 즉시 유동성 공급자(LP) 토큰을 인출하는 동시에 그 시점까지 얻은 모든 보상을 몰수할 수 있습니다.

해커에 따르면 이 기능은 SushiSwap 풀 내에서 보상이 유지되지 않으면 의도한 대로 작동하지 않기 때문에 오해의 소지가 있습니다.

풀의 보상이 고갈되면 다중 서명 계정을 사용하여 프로젝트 팀에서 수동으로 채워야 하며 종종 매우 다른 시간대에서 운영됩니다. 해커는 이로 인해 토큰이 인출되기까지 10시간 이상의 대기 시간이 발생할 수 있다고 생각합니다. 보고서는 더 자세히 설명,

“모든 서명 보유자가 보상 계정 재충전에 동의하는 데 약 10시간이 소요될 수 있으며 일부 보상 풀은 한 달에 여러 번 비어 있습니다. SushiSwap의 비 이더리움 배포 및 2배 보상(모두 취약한 MiniChefV2 및 MasterChefV2 계약 사용)은 총 가치가 10억 달러 이상입니다. 이것은 이 값이 한 달에 여러 번 10시간 동안 본질적으로 건드릴 수 없다는 것을 의미합니다.”

그러나 플랫폼 개발자는 이제 설명. 플랫폼의 “Shadowy Super Coder” Mudit Gupta는 트위터에 위협 자체가 “취약점이 아니다”라고 강조하면서 “어떤 자금도 위험에 처하지 않습니다”라고 덧붙였습니다.

개발자는 해커의 주장과 달리 긴급 상황에 대비하여 “누구나”가 풀을 채울 수 있다고 주장했습니다. 이것은 해커가 설명하는 10시간의 다중 서명 프로세스를 무의미하게 만듭니다. Gupta는 다음과 같이 덧붙였습니다.

“누군가 보상자를 더 빨리 소모시키기 위해 많은 양의 lp를 넣을 수 있다는 해커의 주장은 잘못된 것입니다. LP를 더 추가하면 LP당 보상이 줄어듭니다.”

어쨌든 해커의 의도는 “현재와 미래의 SushiSwap 사용자에게 이러한 취약한 계약을 신뢰함으로써 감수하는 위험을 교육하는 것”으로 보입니다. […].” 사실, 화이트 햇 해커는 SushiSwap이 그들 앞에서 문제를 너무 무심코 처리했다고 비난했습니다.

“문제”는 플랫폼의 버그 바운티 프로그램인 Immunefi를 통해 처음 제기되었습니다. 동시에 SushiSwap은 코드의 위험한 취약점을 보고하는 사용자에게 최대 40,000달러의 보상을 제공합니다.

하지만 이 문제는 보상 없이 이뮤네피에서 종결됐다.

이것은 AMBCrypto 영어의 번역입니다.