SushiSwap réfute les allégations d’un risque de sécurité de 1Mrd$

Le white-hat hacker affirme avoir rendu l'affaire publique après que SushiSwap n'ait pas réagi à la vulnérabilité décelée.

SushiSwap a rejeté les allégations selon lesquelles la plateforme d'échange décentralisée (DEX) est menacée par une importante faille de sécurité qui pourrait entraîner le vol de plus d'un milliard de dollars de fonds d'utilisateurs.

Selon un hacker, bien que la fonctionnalité permette de retirer des jetons de fournisseur de liquidité (LP), elle échoue lorsque le pool de SushiSwap ne contient aucune récompense.

Selon le hacker, il faut près de 10 heures pour que le compte de récompenses se remplisse à nouveau, le processus manuel se produisant plusieurs fois par mois. Ainsi, plus d'un milliard de dollars de fonds d'utilisateurs sont en danger pendant environ 10 heures.

Mais selon le développeur Mudit Gupta, la plateforme n'est pas actuellement vulnérable à une menace de sécurité et les fonds des utilisateurs sont en sécurité. Réagissant aux affirmations du white-hat hacker sur Twitter, le Shadowy Super-Coder a noté :

« Il ne s'agit pas d'une vulnérabilité. Aucun fonds n'est en danger. Si le récompensé est à court de récompenses, le retrait de LP échouera, mais n'importe qui (pas seulement sushi) peut recharger le récompensé en cas d'urgence. »

Le développeur suggère que le délai de 10 heures indiqué par le white-hat hacker n'est pas coulé dans le béton et qu'avec la possibilité pour quiconque de recharger le pool, aucune menace n'existe lorsque le rewarder est à court de fonds.

Le développeur de SushiSwap note également que les allégations selon lesquelles un acteur malveillant peut « drainer » le récompenseur en l'inondant de LP sont incorrectes. Il a précisé que les récompenses allouées par jeton de liquidité sont réduites lorsque davantage de LP sont ajoutés.

Ces allégations font suite à deux cas de vulnérabilité de la plateforme SushiSwap, selon un hacker anonyme. Selon le hacker, la fonction emergency Withdraw du protocole de finance décentralisée (DeFi) relative aux contrats MasterChef v2 et MiniChef v2 met les utilisateurs en danger car elle ne fonctionne pas comme prévu.

Les contrats en question contiennent des pools de jetons de récompenses et de LP hébergés sur des plateformes telles que Binance Smart Chain (BSC), Avalanche et Polygon.

SushiSwap n'a pas publié de déclaration officielle sur ces allégations, mais cherchera certainement à assurer aux utilisateurs la sécurité de leurs fonds, étant donné que le secteur DeFi a récemment connu plusieurs cas d'attaques.