Um dos desenvolvedores por trás da popular exchange descentralizada SushiSwap rejeitou uma suposta vulnerabilidade relatada por um white-hat hacker bisbilhotando seus contratos inteligentes.

De acordo com relatos da mídia, o hacker afirmou ter identificado uma vulnerabilidade que poderia colocar mais de US$ 1 bilhão em fundos dos usuários sob ameaça, alegando que divulgou a informação publicamente diante da falta de resposta após entrar em contato com os desenvolvedores do SushiSwap.

O hacker afirma ter identificado uma "vulnerabilidade dentro da função EmergencyWithdraw em dois dos contratos do SushiSwap, MasterChefV2 e MiniChefV2" - contratos que regem as farms de rendimento dobradas da exchange e os pools em implantações fora da Ethereum e SushiSwap, como Polygon, Binance Smart Chain e Avalanche.

Apesar da função de Retirada de Emergência permitir que os provedores de liquidez reivindiquem imediatamente seus tokens quando perdem recompensas em caso de uma emergência, o hacker afirma que o recurso falhará se nenhuma recompensa for mantida dentro do pool SushiSwap - forçando os provedores de liquidez a esperar pelo pool para serem recarregados manualmente ao longo de um processo de aproximadamente 10 horas antes de poderem retirar seus tokens.

“Pode levar aproximadamente 10 horas para todos os detentores de assinatura consentirem em recarregar a conta de recompensas, e alguns pools de recompensas estão vazios várias vezes por mês”, afirmou o hacker, acrescentando:

“As implantações não-Ethereum do SushiSwap e recompensas dobradas (todas usando os contratos vulneráveis ​​MiniChefV2 e MasterChefV2) possuem mais de US $ 1 bilhão em valor total. Isso significa que esse valor é essencialmente intocável por 10 horas várias vezes por mês.”


No entanto, o desenvolvedor do SushiSwap recorreu ao Twitter para negar as alegações. O "Shadowy Super Coder" Mudit Gupta enfatizou que a ameaça descrita "não é uma vulnerabilidade" e que "nenhum fundo está em risco".

Gupta esclareceu que "qualquer um" pode completar a recompensa do pool em caso de emergência, contornando grande parte do processo de assinatura múltipla de 10 horas que o hacker afirmou ser necessário para repor o pool de recompensas, completando:

“A alegação do hacker de que alguém pode colocar muito LP para drenar as recompensas mais rápido está incorreta. A recompensa por LP diminui se você adicionar mais LP. ”

O hacker disse que foi instruído a relatar a vulnerabilidade na plataforma de recompensa de bugs Immunefi - onde o SushiSwap está oferecendo recompensas de até US $ 40.000 para usuários que relatam vulnerabilidades arriscadas em seu código - depois de entrarem em contato com a bolsa.

A plataforma declarou que a questão foi encerrada sem indenização, com o SushiSwap afirmando que tinha conhecimento do assunto descrito.

LEIA MAIS: