Lập trình viên phát hiện lỗi trong hệ thống quản trị của SushiSwap, nhưng chưa có mối đe dọa nào đối với dự án

Nhà phát triển Jong Seok Park vào ngày 7 tháng 9 đã phát hiện ra một lỗi trong hệ thống quản trị của SushiSwap, theo đó, kẽ hở này có thể bị khai thác để tổ chức các cuộc tấn công double-spend.

Về bản chất, hệ thống quản trị của SushiSwap cho phép chủ sở hữu token ủy quyền quyền biểu quyết của họ cho một thực thể khác. Tuy nhiên, nếu người nắm giữ số token này sau đó chuyển chúng cho người khác, thì người được ủy quyền vẫn duy trì quyền quản lý của họ. Người nắm giữ token thứ hai hiện có thể ủy quyền một lần nữa, nhân quyền lực của người được ủy quyền nhiều nếu cần. Lỗi là việc chuyển các token không dẫn đến việc đặt lại các thông số ủy quyền và đây có thể là kết quả của việc tổng hợp các cơ sở mã từ các dự án khác nhau.

Các hợp đồng quản trị của SushiSwap phần lớn là một nhánh của quản trị Yam, bản thân là một nhánh của Compound. Tuy nhiên, khi nhìn vào mã nguồn Github của SushiSwap, có vẻ như hợp đồng thông minh của token này chỉ sửa đổi chức năng “đúc” từ việc triển khai tiêu chuẩn các hợp đồng ERC-20 của OpenZeppelin.

Trong cuộc trò chuyện với Cointelegraph, Giám đốc điều hành FTX và hiện là lãnh đạo của SushiSwap, Sam Bankman-Fried đã xác nhận sự tồn tại của lỗi này. Ông lưu ý rằng “nó không phải là vấn đề cấp thiết đối với Sushi” vì quyền quản trị chưa được kích hoạt.

Phát hiện được lỗi trước khi phát hành trực tiếp có nghĩa là đội phát triển có thể làm việc để tìm ra các giải pháp để sửa lỗi đó. Bankman-Fried tin rằng vấn đề có thể được khắc phục mà không cần phải chuyển dự án sang các hợp đồng mới, nhưng nhóm “vẫn đang xem xét vấn đề đó”.

Có một điều thú vị là SushiSwap đã được nhiều công ty xem xét và kiểm toán một cách vội vàng khi dự án này trở nên phổ biến. Đây sẽ không phải là lần đầu tiên các cuộc kiểm toán không phát hiện được những vấn đề của dự án, cho thấy sự cần thiết của toàn bộ cộng đồng phát triển cùng tham gia để giữ an toàn cho các hợp đồng thông minh DeFi.

Bản thân SushiSwap hiện đang quay cuồng với hậu quả của việc người sáng lập ẩn danh của nó “nhảy tàu” với một khoản “devfund” với số token SUSHI trị giá 27 triệu USD vào thời điểm đó.

Theo Cointelegraph

You May Also Like

About the Author: Hoàng Kang

Leave a Reply

Your email address will not be published. Required fields are marked *