Uno de los desarrolladores detrás del popular exchange descentralizado SushiSwap ha desmentido una supuesta vulnerabilidad informada por un pirata informático de sombrero blanco que espía a través de sus contratos inteligentes.

Según informes de los medios, el pirata informático afirmó haber identificado una vulnerabilidad que podría poner en peligro más de mil millones de dólares en fondos de los usuarios, afirmando que hicieron pública la información después de que los intentos de comunicarse con los desarrolladores de SushiSwap dieron como resultado la inacción.

El pirata informático afirma haber identificado una "vulnerabilidad dentro de la función EmergencyWithdraw en dos de los contratos de SushiSwap, MasterChefV2 y MiniChefV2", contratos que gobiernan el farming de recompensas 2x del exchange y los grupos en las implementaciones de SushiSwap que no son de Ethereum, como Polygon, Binance Smart Chain y Avalancha.

Si bien la función retiro de emergencia le permite a los proveedores de liquidez reclamar inmediatamente sus tokens de proveedor de liquidez mientras pierden las recompensas en caso de una emergencia, el pirata informático afirma que la función fallará si no se mantienen recompensas dentro del grupo de SushiSwap, lo que obliga a los proveedores de liquidez a esperar el grupo. para ser rellenado manualmente durante un proceso de aproximadamente 10 horas antes de que puedan retirar sus tokens.

"Puede tomar aproximadamente 10 horas para que todos los titulares de firmas den su consentimiento para recargar la cuenta de recompensas, y algunos grupos de recompensas están vacíos varias veces al mes", afirmó el pirata informático, y agregó:

“Las implementaciones que no son de Ethereum y las recompensas 2x de SushiSwap (todas usando los contratos vulnerables MiniChefV2 y MasterChefV2) tienen más de USD 1 mil millones en valor total. Esto significa que este valor es esencialmente intocable durante 10 horas varias veces al mes ". 

Sin embargo, el desarrollador seudónimo de SushiSwap ha recurrido a Twitter para rechazar las afirmaciones, y el "Shadowy Super Coder" de la plataforma, Mudit Gupta, enfatiza que la amenaza descrita "no es una vulnerabilidad" y que "no hay fondos en riesgo".

Gupta aclaró que "cualquiera" puede recargar el recompensador del grupo en caso de una emergencia, evitando gran parte del proceso multi-sig de 10 horas que el pirata informático afirmó que es necesario para reponer el grupo de recompensas. Agregaron:

“La afirmación del pirata informático de que alguien puede poner una gran cantidad de LP para agotar el recompensador más rápido es incorrecta. La recompensa por LP disminuye si agrega más LP ".

El pirata informático dijo que se les había ordenado informar la vulnerabilidad en la plataforma de recompensas por errores Immunefi, donde SushiSwap ofrece pagar recompensas de hasta USD 40,000 a los usuarios que informan vulnerabilidades de riesgo en su código, después de que se comunicaron por primera vez con el exchange.

Señalaron que el problema se cerró en Immunefi sin compensación, y SushiSwap declaró que estaba al tanto del asunto descrito.

Sigue leyendo: