सुशी स्वैप देव हैकर के ‘बिलियन डॉलर’ बग फाइंडिंग से असहमत हैं

सुशी स्वैप भेद्यता रिपोर्ट प्रकाशित एक गुमनाम व्हाइट-हैट हैकर द्वारा लोकप्रिय विकेन्द्रीकृत एक्सचेंज के पीछे डेवलपर्स द्वारा अस्वीकार कर दिया गया है।

सुशी स्वैप के नेटवर्क के भीतर हैकर और उसकी कथित कमजोरियां सबसे पहले मीडिया रिपोर्टों के माध्यम से सामने आईं। उसी में, हैकर ने दावा किया कि इन खतरों के कारण उपयोगकर्ताओं को $ 1 बिलियन से अधिक के धन का नुकसान हो सकता है।

सुशी स्वैप के डेवलपर्स के ध्यान में इसे लाने के प्रयासों के बाद ही हैकर ने जानकारी के साथ सार्वजनिक होने की बात स्वीकार की, जिसके परिणामस्वरूप कोई कार्रवाई नहीं हुई।

रिपोर्ट में, हैकर ने दावा किया कि “सुशी स्वैप के दो अनुबंधों, मास्टरशेफवी2 और मिनीशेफवी2 में आपातकालीन विड्रॉ फ़ंक्शन के भीतर भेद्यता पाई गई है।” ये अनुबंध एक्सचेंज के 2x रिवॉर्ड फ़ार्म और गैर-Ethereum साइडचेन जैसे बिनेंस स्मार्ट चेन, बहुभुज, फैंटम, हिमस्खलन, दूसरों के बीच में।

एमर्जेंसी विदड्रॉ फ़ंक्शन डीआईएफआई सेवाओं का उपयोग करने वाले उपयोगकर्ताओं को एक सुरक्षा जाल प्रदान करता है, अनिवार्य रूप से उन्हें आपातकालीन स्थिति में अपने तरलता प्रदाता (एलपी) टोकन को तुरंत वापस लेने की अनुमति देता है, जबकि उस बिंदु तक अर्जित किसी भी पुरस्कार को जब्त कर लेता है।

हैकर के अनुसार, यह सुविधा भ्रामक है क्योंकि सुशी स्वैप पूल के भीतर कोई पुरस्कार नहीं होने पर यह इरादा के अनुसार काम नहीं करेगा।

यदि पूल में पुरस्कार सूख जाते हैं, तो उन्हें प्रोजेक्ट की टीम द्वारा मैन्युअल रूप से एक बहु-हस्ताक्षर खाते का उपयोग करके भरना पड़ता है, जबकि अक्सर अलग-अलग समय क्षेत्रों से संचालित होता है। हैकर का मानना ​​​​है कि इससे टोकन वापस लेने से पहले 10 घंटे से अधिक समय तक प्रतीक्षा समय हो सकता है। रिपोर्ट में आगे विस्तार से बताया गया है,

“सभी हस्ताक्षर धारकों को रिवॉर्ड अकाउंट को फिर से भरने के लिए सहमति देने में लगभग 10 घंटे लग सकते हैं, और कुछ रिवॉर्ड पूल महीने में कई बार खाली होते हैं। SushiSwap की गैर-एथेरियम परिनियोजन और 2x पुरस्कार (सभी कमजोर MiniChefV2 और MasterChefV2 अनुबंधों का उपयोग करते हुए) कुल मूल्य में $ 1 बिलियन से अधिक हैं। इसका मतलब है कि यह मूल्य अनिवार्य रूप से महीने में कई बार १० घंटे के लिए अछूत है।”

हालाँकि, प्लेटफ़ॉर्म के डेवलपर्स अब एक के साथ सामने आए हैं स्पष्टीकरण. मंच के “शैडोवी सुपर कोडर” मुदित गुप्ता ने ट्विटर पर जोर देकर कहा कि यह खतरा “एक भेद्यता नहीं है”, यह कहते हुए कि “कोई फंड जोखिम में नहीं है।”

देव ने दावा किया कि हैकर के दावे के विपरीत, आपात स्थिति में पूल को “कोई भी” टॉप अप कर सकता है। यह हैकर द्वारा बताई गई 10 घंटे की बहु-हस्ताक्षर प्रक्रिया को अप्रासंगिक बना देता है। गुप्ता ने आगे कहा,

“हैकर का यह दावा कि कोई व्यक्ति इनाम देने वाले को तेज़ी से निकालने के लिए बहुत अधिक एलपी लगा सकता है, गलत है। यदि आप अधिक एलपी जोड़ते हैं तो प्रति एलपी पुरस्कार कम हो जाता है।”

किसी भी मामले में, हैकर का इरादा “वर्तमान और भविष्य के सुशी स्वैप उपयोगकर्ताओं को इन कमजोर अनुबंधों पर भरोसा करके वे जो जोखिम उठा रहे हैं, उन्हें शिक्षित करना” है। […]।” वास्तव में, व्हाइट-हैट हैकर ने सुशी स्वैप पर उनके सामने मामले को बहुत लापरवाही से संभालने का भी आरोप लगाया।

इस “मुद्दे” को पहली बार प्लेटफ़ॉर्म के बग बाउंटी प्रोग्राम, इम्यूनफ़ी के माध्यम से लाया गया था। उसी पर, सुशी स्वैप उन उपयोगकर्ताओं को $40,000 तक के पुरस्कार का भुगतान करने की पेशकश कर रहा है जो उनके कोड में जोखिम भरी कमजोरियों की रिपोर्ट करते हैं।

हालांकि, इस मुद्दे को बिना मुआवजे के इम्यूनफी पर बंद कर दिया गया था।

SHARE