O SushiSwap parece ser vulnerável a um bug que tem potencial de multiplicar o poder de governança de alguém sem adquirir novos tokens.

Relatado pelo desenvolvedor Jong Seok Park em 7 de setembro, o bug pode ser descrito como um gasto duplo de governança.

Em essência, a governança do SushiSwap permite que os detentores de tokens deleguem seu poder de voto a outras partes. No entanto, se esse detentor de token transferir os tokens para outra pessoa, o indicado ainda assim manterá seu poder de governança. O segundo detentor de token agora poderá delegar tokens mais uma vez, multiplicando o poder de governança. O bug encontrado mostrou que a transferência de token não redefine os parâmetros de delegação e isso poderia resultar na agregação de bases de código de diferentes projetos.

Os contratos de governança do SushiSwap são em grande parte um fork da governança do Yam, eles próprios um fork do Compound. Olhando para o código-fonte do SushiSwap no Github, no entanto, parece que o contrato inteligente do token apenas modificou a função "mint" da implementação padrão dos contratos ERC-20 pelo OpenZeppelin. O Yam, por outro lado, usou uma implementação específica do padrão que tem uma função “moveDelegates” chamada durante a transferência.

Em conversa com o Cointelegraph, o CEO da FTX e agora responsável pelo SushiSwap Sam Bankman-Fried confirmou a existência do bug. Ele observou que "isso não representa um problema imediato para o Sushi", pois a governança ainda não foi ativada.

Identificar o bug antes do lançamento ao vivo significa que a equipe agora pode trabalhar em soluções para corrigi-lo. Bankman-Fried acredita que o problema deve ser corrigido sem a necessidade de migrar o projeto para novos contratos, mas a equipe "ainda está investigando".

É interessante notar que o SushiSwap foi rapidamente revisado e auditado por várias empresas à medida que o projeto cresceu em popularidade. Embora um dos problemas envolva a mesma função “moveDelegates”, este parece ser um tipo diferente de bug. Não seria a primeira vez que as auditorias deixariam de detectar alguns problemas, destacando a necessidade de toda a comunidade de desenvolvimento contribuir para manter os contratos inteligentes DeFi seguros.

O próprio SushiSwap está se recuperando das consequências do abandono do projeto por seu fundador anônimo, liquidando tokens SUSHI no valor de US$ 27 milhões.

A migração de liquidez do Uniswap ainda está definida para continuar com novos contratos de migração, mas a decisão anterior do Chef Nomi foi cancelada.

 

LEIA MAIS