スシスワップ取引所、３３０万ドル規模のスマートコントラクトハッキング被害

　人気ＤＥＸ（分散型取引所）プラットフォームのスシスワップが、ハッカーにスマートコントラクトのバグを悪用され、３３０万ドル以上の損失を被った。

　具体的には、複数の取引元から流動性を集約し、コインのスワップに最も有利な価格を特定するスシスワップのスマートコントラクト「ＲｏｕｔｅＰｒｏｃｅｓｓ０２」が悪用され、さまざまなブロックチェーンネットワークに分散された。

　暗号資産（仮想通貨）セキュリティ企業Ａｎｃｉｌｉａは、「根本的な原因は、内部のｓｗａｐ（）関数で、ｓｗａｐＵｎｉＶ３（）を呼び出し、ストレージスロット０ｘ００にある変数『ｌａｓｔＣａｌｌｅｄＰｏｏｌ』を設定したことにある」とツイッターで説明。「その後、ｓｗａｐ３ｃａｌｌｂａｃｋ関数で権限チェックがバイパスされてしまう」ということだ。

　ＤｅｆｉＬｌａｍａの開発者である０ｘｎｇｍｉ氏によると、ハッキングの影響を受けたのは過去４日間にプロトコルで取引を行ったユーザーに限られるとのこと。

　「スシスワップハッキングの影響を受けるのは、過去４日間にスシスワップで取引を行ったユーザーに限られる。対象のユーザーは、できるだけ早く承認を取り消すか、影響を受けたウォレットの資金を新しいウォレットに移すように」と０ｘｎｇｍｉ氏はツイートしている。

　これまでのところ少なくとも１人のユーザーの被害が確認された。この被害者は、Ｓｉｆｕと呼ばれる有名な暗号資産支持者で、約３３０万ドル相当にあたる１８００イーサリアム（ＥＴＨ）を失ったという。

　一方、スシスワップのリード開発者であるジャレッド・グレイ氏は、「スシスワップのＲｏｕｔｅＰｒｏｃｅｓｓｏｒ２コントラクトには承認バグがある。できるだけ早く承認を取り消してもらいたい」と述べ、プロトコルでのすべてのコントラクトの承認を取り消すようユーザーに呼びかけた。

　同氏はまた、この問題に対処するため、異なるブロックチェーンで取り消しが必要なコントラクトのリストをギットハブに作成。このコントラクトは、人気イーサリアムレイヤー２ソリューションのポリゴンでも展開している。

●スシスワップ、盗まれた資金の「大部分」を回収

　スシスワップチームは、ホワイトハットのセキュリティプロセスで盗まれた資金の大半を回収することに成功した。

　グレイ氏は９日９時４２分、「ホワイトハットのセキュリティプロセスで、被害資金の大部分を確保した。ホワイトハットによる回収を実行した場合は、次のステップとしてｓｅｃｕｒｉｔｙ＠ｓｕｓｈｉ．ｃｏｍに連絡してください」と述べている。

　「ＳｉｆｕのＣｏｆｆｅｅｂａｂｅから盗まれた資金の３００ＥＴＨ以上を回収したことが確認された。さらに７００ＥＴＨについてはＬｉｄｏのチームと連絡を取り合っている」

　スシスワップのマシュー・リリーＣＴＯ（最高技術責任者）はその後、スシスワップのＤＥＸプラットフォームを使用することに現在問題はないと報告している。続けて、「ＲｏｕｔｅｒＰｒｏｃｅｓｓｏｒ２へのすべてのエクスポージャーはフロントエンドから削除されており、すべてのＬＰｉｎｇおよび現在の取引活動は安全に行うことができる」と述べた。

　スシスワップハッキングの背後では、Ｓｕｓｈｉ　ＤＡＯとグレイ氏がＳＥＣ（証券取引委員会）から召喚状を受け取るなど、ＤＥＸに対する規制取り締まりが強化されている。

　Ｓｕｓｈｉ　ＤＡＯは３月２１日、訴訟費用にあてるための法的弁護基金の創設を提案する形で、召喚状を受け取ったことを明らかにした。

　グレイ氏はその週末、召喚状に関する公式声明を発表。「ＳＥＣの調査は非公開の事実調査であり、連邦証券法に違反があったかを確認するものである」と説明した。

　「私たちが知る限りでは、（記事執筆時では）スシスワップ関係者が米連邦証券法に違反していたという結論は出ていない」

（イメージ写真提供：１２３ＲＦ）

https://cryptonews.com/news/sushiswap-exchange-suffers-major-33-million-smart-contract-hack-heres-what-happened.htm

This story originally appeared on cryptonews.com.