Popüler merkeziyetsiz borsa SushiSwap'in geliştiricisi, akıllı sözleşmelerini inceleyen bir beyaz şapkalı hacker'ın rapor ettiği sözde zafiyeti reddetti.

Söz konusu hacker, haberlere göre kullanıcıların 1 milyar dolardan fazla değerde fonlarını tehlikeye atabilecek bir zafiyet tespit etti. Hacker, SushiSwap geliştiricileriyle iletişime geçme çabalarının sonuçsuz kalmasının ardından bilgiyi kamuya açıkladığını söyledi.

İddiaya göre SushiSwap'in MasterChefV2 ve MiniChefV2 olmak üzere iki sözleşmesinin acil çekim işlevinde zafiyet tespit edildi. Bu sözleşmeler, borsanın 2x ödül çiftliklerini ve SushiSwap'in Polygon, Binance Smart Chain ve Avalanche gibi Ethereum dışı versiyonlarındaki havuzları yönetiyor.

Acil çekim işlevi, likidite sağlayıcılarının LP tokenlerini anında teslim almalarına olanak sağlıyor, acil durumlarda ise ödül hakkı kaybediliyor. Hacker, SushiSwap havuzunda hiçbir ödül bulunmazsa, bu özelliğin başarısız olacağını ve likidite sağlayıcılarını tokenlerini çekmeden önce havuzun yaklaşık 10 saatlik bir süreçte manuel olarak doldurulmasını beklemeye zorlayacağını iddia ediyor.

Hacker, “Tüm imza sahiplerinin ödül hesabını doldurmaya razı olmalarını beklemek, yaklaşık 10 saat sürebilir ve bu ödül havuzlarından bazıları ayda birkaç kez boşalıyor" diye belirtti ve şöyle ekledi:

“SushiSwap’ın Ethereum dışı versiyonları ve 2x ödülleri (hepsi MiniChefV2 ve MasterChefV2 sözleşmelerini kullanıyor,) 1 milyar dolardan fazla toplam değer içeriyor. Yani bu miktar, ayda birkaç kez 10 saat boyunca kullanılamaz oluyor.” 

Ne var ki SushiSwap’in anonim geliştiricisi, Twitter paylaşımında iddiaları reddetti ve mevzubahis durumun bir zafiyet olmadığını, fonların da risk altında olmadığını ileri sürdü.

Geliştirici, acil durumda herkesin havuzu ödül ile doldurabileceğini ve hacker'ın ödül havuzunu doldurmak için gerekli olduğunu iddia ettiği 10 saat süren çoklu imza süreci engelini aşabileceğini belirtti.

Hacker, zafiyeti hata bulma ödül platformu Immunefi'de rapor etmek için talimat aldığını açıkladı. SushiSwap, bu platformda kodlarındaki riskli zafiyetleri tespit eden kullanıcılara, ilk önce borsaya ulaşmaları koşuluyla 40 bin dolara kadar ödül vadediyor.

SushiSwap, bahsi geçen durumdan haberdar olduklarını ve bu nedenle konunun herhangi bir ödeme yapılmadan kapandığını açıkladı.