Popüler kripto varlık borsalarından biri olan SushiSwap ile ilgili güvenlik açığı iddiaları ortaya çıkmıştı. Bir beyaz şapkalı hacker tarafından bildirilen açıkla ilgili SushiSwap cephesinden bir yanıt geldi. Bu yanıtın detayların bakmadan önce hacker’ın ortaya attığı iddialara bir bakalım.
Basında çıkan haberlere göre hacker, 1 milyardan dolardan fazla kullanıcı fonunu tehdit edebilecek bir güvenlik açığı tespit etti. SushiSwap gelişticilerileriyle iletişim kurmak isteyen hackerın bu isteği karşılıksız kalınca bu açığı kamuyla paylaştı.
SushiSwap Güvenlik Açığı İddialarını Yanıtladı
İddiaların daha da detayına inecek olursak hacker, SushiSwap‘in MasterChefV2 ve MiniChefV2 isimli iki sözleşmesinde yer alan Acil Para Çekme özelliğinde bir güvenlik açığı tespit ettiğini iddia etti. Bu arada söz konusu sözleşmeler, borsanın 2x ödül çiftliklerini ve havuzlarını yönetiyor.
Acil Para Çekme özelliği, nakit sağlayıcıların, acil durum ödüllerini kaybettikleri esnada, LP tokenlarını hemen talep etmelerini sağlıyor. Hacker da SushiSwap havuzunda herhangi bir ödül tutulmazsa özelliğin başarısız olacağını iddia ediyor. Söz konusu açık, sağlayıcıların tokenlarnı geri çekmeden önce yaklaşık 10 saat boyunca havuzun manuel olarak doldurulmasını beklemeye zorluyor.
Hacker, “Tüm imza sahiplerinin ödül hesabını yeniden yüklemeye onay vermesi yaklaşık 10 saat sürebilir ve bazı ödül havuzları ayda birkaç kez boştur” dedi.
Diğer yandan, SushiSwap’ten bir geliştirici iddiaları reddetti. Geliştirici, hacker’ın iddia ettiği 10 saatlik imza sürecinin atlanabildiğini ve herkesin ödeme havuzunu doldurabileceğini söyledi. Ayrıca açıklamada şu sözlere de yer verildi:
“Hacker’ın, birinin parayı daha hızlı boşaltmak için daha fazla LP koyabileceği iddiası yanlış. Daha fazla LP eklerseniz, LP başına ödül azalır”