Smart Contract SushiSwap Dieksploitasi, Rp49,3 Miliar Raib!

Smart Contract dari pertukaran terdesentralisasi Sushiswap telah dieksploitasi, ini menyebabkan satu pengguna dengan nama akun twitter @0xSifu mengalami kerugian hingga 1.800 ETH yang bernilai US$3,3 juta (Rp49,3 miliar)

Eksploitasi ini melibatkan kontrak ‘RouterProcessor2’, yang digunakan untuk melakukan perutean perdagangan di SushiSwap.

“Tampaknya kontrak SushiSwap RouterProcessor2 memiliki bug terkait persetujuan, yang menyebabkan kerugian >US$3,3 juta,” cuit akun twitter perusahaan keamanan PeckShield pada Minggu (9/4). 

Informasi tersebut pun dikonfirmasi oleh Head Chef Sushiswap, Jared Grey. Ia meminta pengguna untuk mencabut semua izin kontrak di SushiSwap sebagai tindakan pengamanan. Tim keamanan juga sedang bekerja untuk mengurangi masalah tersebut. 

Sushi's RouteProcessor2 contract has an approval bug; please revoke approval ASAP. We're working with security teams to mitigate the issue. https://t.co/WhXJfa5xD4

— Jared Grey (@jaredgrey) April 9, 2023

Dalam istilah teknis, penyebab eksploitasi menurut perusahaan keamanan siber, Ancilia, Inc. adalah fungsi swap () internal akan memanggil swapUniV3() untuk menyetel variabel “lastCalledPool” yang ada di slot penyimpanan 0x00. Kemudian, dalam fungsi swap3callback pemeriksaan izin akan dilewati. 

Menurut analis The Block, Brad Kay, jika kontrak yang buruk dan memiliki bug dilewati dan disetujui, maka tanpa sadar pengguna mengizinkan pengeksploitasi untuk mencuri token mereka.  

“Bug tersebut memungkinkan entitas yang tidak sah pada dasarnya mendapatkan token tanpa persetujuan yang tepat dari pemilik token,” jelas Kay. 

SushiSwap Imbau Pengguna Cabut Izin

Tim Sushiswap telah menyediakan tautan yang dapat digunakan pengguna platform untuk memeriksa akun mereka dan mencabut izin apa pun jika diperlukan.

💡 To find out if you're vulnerable to the approval of RouteProcessor 2
👉 Use this link to check and revoke if you have tokens approved.

🔓 https://t.co/HUBz9Hi82h

— Sushi.com (@SushiSwap) April 9, 2023

CTO SushiSwap, Matthew Lilley, mengatakan pertukaran saat ini aktif dan berjalan dan bebas bug.

“Saat ini tidak ada risiko dengan menggunakan Protokol Sushi, dan UI. Semua eksposur ke RouterProcessor2 telah dihapus dari front end, dan semua aktivitas LPing / current swap aman untuk dilakukan.”

Ia meminta agar semua pengguna memeriksa ulang persetujuan mereka, dan jika setelah diperiksa, alamat terdaftar, segera batalkan persetujuan.

Menurut @0xngmi DeFillama, hanya pengguna yang menukar di SushiSwap dalam empat hari terakhir yang akan terpengaruh. Ia juga mengimbau, “Segera kembalikan persetujuan atau pindahkan dana di dompet yang terpengaruh ke dompet baru.”

Analis The Block, Kevin Peng, menjelaskan bahwa, sejauh ini, 190 alamat Ethereum telah menyetujui kontrak yang bermasalah. Namun, lebih dari 2000 alamat di Layer 2 Arbitrum tampaknya telah menyetujui kontrak yang buruk tersebut.

Harga token tata kelola SushiSwap (SUSHI) turun 0,6% dalam satu jam sejak berita tersebut tersiar. Saat artikel ini dirilis pada Minggu malam, harga SUSHI telah turun 4,07% dalam 24 jam terakhir dan berada di angka US$1,08. 

Cara Mencabut Akses Aset Pada Wallet

Mencabut akses (revoke) diperlukan untuk menghentikan akses dApps dalam mengelola aset kripto yang ada pada wallet. Memutuskan akses pada website dApps tidak cukup untuk melindungi wallet sebab akses terhadap aset masih ada walaupun website sudah tidak terhubung dengan wallet.

Untuk melakukan revoke, maka diperlukan dApps lain khusus untuk mencabut akses dApps. Adapun beberapa dApps tersebut adalah:

• Revoke
• Unrekt 
• approved.zone 
• Cointool 
• beefy.finance 
• EverRevoke 

Caranya sangat mudah, hubungkan wallet yang aksesnya ingin dicabut di salah satu dApps di atas. Selanjutnya cabut akses pada token dengan izin unlimited.

Contoh pada Revoke Cash, terdapat list token yang pernah digunakan wallet dalam berinteraksi dengan dApps. Jika wallet pernah memberikan izin akses, maka terdapat keterangan ‘unlimited‘ yang berarti token dapat digunakan oleh dApps bersangkutan secara tak terbatas. Untuk mencabut akses, tekan ‘revoke‘ pada bagian paling kanan dan tekan ‘accept‘ pada pop-up wallet yang muncul.

Pada proses ini, harus menyediakan saldo pada wallet karena digunakan untuk membayar gas fee pada proses mencabut akses.

Kabar Terbaru SushiSwap

Pada Senin (10/4) dini hari, lebih dari 300 ETH milik Sifu yang dicuri telah dipulihkan, dengan 700 ETH lainnya dalam proses. Upaya pemulihan telah dilacak oleh layanan visualisasi kripto Meta Sleuth.