È stata scoperta una falla nel codice di SushiSwap che suggerisce che potrebbe trattarsi di una truffa.
Già nei giorni scorsi erano emersi alcuni problemi per questo nuovo protocollo DeFi, ma questa volta ci sono prove evidenti del fatto che non funzioni come dovrebbe.
Un ingegnere blockchain infatti ha scoperto che nel codice del relativo smart contract manca un passaggio, consentendo perciò al proprietario di impossessarsi di tutti i fondi.
wjmelements.eth scrive su Twitter:
The sushiswap migrator is not set. The owner can always change the migrator. An antagonistic migrator would be able to steal everyone's funds. At ~1B, this would be the biggest heist in crypto. pic.twitter.com/YQIIiTQu9u
— wjmelements (@willmorriss4) August 31, 2020
“Il migratore di sushiswap non è impostato. Il proprietario può sempre cambiare il migratore. Un migratore antagonista potrebbe rubare i fondi di tutti. A circa 1 miliardo, questa sarebbe la più grande rapina nel settore crypto”.
L’ingegnere ha esaminato il codice dello smart contract scoprendo che nella copia effettuata a partire da Uniswap, l’autore di SushiSwap ha omesso di impostare il migratore.
Il problema è che l’autore dello smart contract potrebbe modificare il migratore impostandone uno a piacimento.
wjmelements.eth spiega che questo potrebbe consentire un attacco con cui ci si potrebbe impossessare di tutta la liquidità della migrazione a prezzi bassissimi. Insomma, se ciò accadesse sarebbe una vera e propria truffa.
This opens up an attack where you atomically
1) create the sushiswap pair with the wrong price (or manipulate the existing price)
2) migrate liquidity at the wrong price
3) Acquire all migrated liquidity at crazy-cheap prices. pic.twitter.com/qNj4qHdNvG— wjmelements (@willmorriss4) August 31, 2020
La discussione tuttavia è ancora in corso, perchè potrebbe anche trattarsi di un errore di programmazione a cui forse si potrebbe ancora rimediare.
wjmelements.eth consiglia di evitare di utilizzare questo protocollo fino a che il problema non sarà risolto.
Il capo di SushiSwap, Chef Nomi, ha risposto alle accuse dicendo:
Setting migrator is under 48 hours timelock, as you all know. So please stop spreading bad fud info. Thanks.
— Chef Nomi #SushiSwap (@NomiChef) September 1, 2020
“L’impostazione del migratore ha un blocco temporale inferiore a 48 ore, come tutti sapete. Quindi, per favore, smettila di diffondere informazioni errate. Grazie”.
Questa minimizzazione del problema non solo non sembra essere in grado di rassicurare gli utenti, ma se possibile incrementa ancora di più i sospetti.
Il prezzo del token SUSHI non ha però subito grossi contraccolpi, pertanto il mercato sembra disinteressarsi di questo problema. Ha esordito sui mercati il 28 agosto a circa 3,7$, per poi salire ad oltre 8$ questa mattina.