9日に仮想通貨取引プラットフォーム「スシスワップ」で330万ドル(約4億3500万円)相当が流出した事件について、影響は過去4日間に取引したユーザーに限定されるようだ。
バグは、スシスワップの「Router Processor 2コントラクト」に関連する承認機能に見られた。このスマートコントラクトは、複数の取引元から流動性を集約し、コインのスワップに最も有利な価格を特定するものだ。バグの発見から数時間後に330万ドルの損失が発生した。
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
— PeckShield Inc. (@peckshield) April 9, 2023
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
DefiLlamaの開発者0xngmi氏によると、このハッキングによる影響は、過去4日間にプロトコルで取引を行ったユーザーに限定されるという。
スシスワップの開発責任者であるジャレッド・グレイ氏は、すべてのコントラクトの許可を取り消すようユーザーに促した。「SushiのRouteProcessor2コントラクトには承認バグがある。できるだけ早く承認を取り消していただきたい。セキュリティチームと連携して問題を解決しているところだ」と述べた。GitHubには、異なるブロックチェーンで取り消しが必要なコントラクトのリストが作成されている。
We've confirmed recovery of more than 300ETH from CoffeeBabe of Sifu's stolen funds. We're in contact with Lido's team regarding 700 more ETH.
— Jared Grey (@jaredgrey) April 9, 2023
事件から数時間後、グレイ氏はツイッターで、ホワイトハットセキュリティプロセスを通じて、「被害資金の大部分」が回収されたことを発表した。「CoffeeBabeから盗まれた資金の300ETH以上を回収したことが確認された。さらに700ETHについてはLidoのチームと連絡を取っている」と述べた。
一方、スシスワップコミュニティは、4月8日にアメリカ証券取引委員会(SEC)からの召喚状に関して、グレイ氏と彼の弁護士がコメントするという慌ただしい週末を過ごしている。グレイ氏は、「SECの調査は、非公開の事実調査であり、連邦証券法に違反があったかどうかを確認するものだ。私たちが知る限りでは、現時点でスシスワップ関係者が連邦証券法に違反したという結論は出ていない」と説明した。
グレイ氏は調査に協力していると主張し、3月21日にスシスワップのガバナンスフォーラムで召喚状への対応として法的防衛基金が提案された。
翻訳・編集 コインテレグラフジャパン