El desarrollador detrás del popular intercambio descentralizado SushiSwap ha rechazado una supuesta vulnerabilidad informada por un pirata informático de sombrero blanco que espía a través de sus contratos inteligentes.

Según los informes de los medios, el pirata informático afirmó haber identificado una vulnerabilidad que podría poner bajo amenazas más de mil millones de dólares en fondos de los usuarios, afirmando que hicieron pública la información después de que los intentos de comunicarse con los desarrolladores de SushiSwap dieron como resultado la inacción.

El pirata informático afirma haber identificado una “vulnerabilidad dentro de la función EmergencyWithdraw en dos de los contratos de SushiSwap, MasterChefV2 y MiniChefV2”, contratos que gobiernan las granjas de recompensa 2x del intercambio y los grupos en las implementaciones de SushiSwap que no son de Ethereum, como Polygon, Binance Smart Chain y Avalanche. .

Si bien la función EmergencyWithdraw permite a los proveedores de liquidez reclamar inmediatamente sus tokens LP mientras pierden las recompensas en caso de una emergencia, el pirata informático afirma que la función fallará si no se mantienen recompensas dentro del grupo de SushiSwap, lo que obliga a los proveedores de liquidez a esperar a que se complete el grupo. rellenado manualmente durante un proceso de aproximadamente 10 horas antes de que puedan retirar sus tokens.

“Puede tomar aproximadamente 10 horas para que todos los titulares de firmas den su consentimiento para recargar la cuenta de recompensas, y algunos grupos de recompensas están vacíos varias veces al mes”, afirmó el pirata informático, y agregó:

“Las implementaciones de SushiSwap que no son de Ethereum y las recompensas 2x (todas usando los contratos vulnerables MiniChefV2 y MasterChefV2) tienen un valor total de más de $ 1 mil millones. Esto significa que este valor es esencialmente intocable durante 10 horas varias veces al mes “.

Sin embargo, el desarrollador seudónimo de SushiSwap ha recurrido a Twitter para rechazar las afirmaciones, y el “Shadowy Super Coder Mudit Gupta de la plataforma enfatiza que la amenaza descrita” no es una vulnerabilidad “y que” no hay fondos en riesgo “.

Gupta aclaró que “cualquiera” puede recargar el recompensador del grupo en caso de una emergencia, evitando gran parte del proceso multi-sig de 10 horas que el pirata informático afirmó que es necesario para reponer el grupo de recompensas. Ellos agregaron:

“La afirmación del pirata informático de que alguien puede poner una gran cantidad de lp para agotar el recompensador más rápido es incorrecta. La recompensa por LP disminuye si agrega más LP “.

Relacionado: La plataforma de lanzamiento de token de SushiSwap, MISO, pirateada por $ 3 millones

El pirata informático dijo que se les había ordenado informar la vulnerabilidad en la plataforma de recompensas por errores Immunefi, donde SushiSwap ofrece pagar recompensas de hasta $ 40,000 a los usuarios que informan vulnerabilidades de riesgo en su código, después de que se comunicaron por primera vez con el intercambio.

Señalaron que el problema se cerró en Immunefi sin compensación, y SushiSwap declaró que estaban al tanto del asunto descrito.