Vulnérabilité critique sur Sushiswap ? Les développeurs contre-attaquent

Les équipes de Sushiswap s’offusquent – Lancée il y a un peu plus d’un an, la plateforme d’échange Sushiswap a su devenir un incontournable de la sphère DeFi. Initialement développée sur Ethereum (ETH), celle-ci est désormais accessible sur de nombreuses autres blockchains, telles que Polygon, la Binance Smart Chain (BSC) ou encore Avalanche.

Une vulnérabilité présente sur Sushiswap ? 

Le 23 septembre, le média Coinfomania a été sous le feu des projecteurs après avoir publié un papier concernant une potentielle faille sur Sushiswap

D’après les informations rapportées, un hacker white hat aurait découvert une vulnérabilité qui mettrait en danger « au moins 1 milliard de dollars de fonds d’utilisateurs ».

Publication de Coinfomania mettant en avant la vulnérabilité potentielle sur Sushiswap
Publication de Coinfomania – Source : Twitter

Selon le rapport fourni par le hacker, ce serait la fonction emergencyWithdraw, présente dans les contrats MasterChefV2 et MiniChefV2, qui serait incriminée. Cette fonction permet aux fournisseurs de liquidités de retirer leurs jetons dans le cas d’un évènement urgent, en perdant potentiellement toutes les récompenses obtenues jusqu’à ce moment-là.

Cependant, d’après le hacker, cette fonction ne fonctionne pas comme elle devrait. En effet, le retrait peut échouer s’il n’y a aucune récompense présente dans les pools de Sushiswap.

De ce fait, des utilisateurs pourraient potentiellement voir leurs fonds bloqués, si les pools de récompenses sont vides. Une situation qui s’est déjà produite, sachant que ce sont les développeurs qui rechargent les pools de récompenses manuellement via une adresse multi-signature.

« Cela peut prendre environ 10 h pour que tous les titulaires de signatures consentent à remplir le compte de récompenses, et certains pools de récompenses sont vides plusieurs fois par mois. »

Déclaration du hacker

Un faux problème pour Sushiswap

Après avoir découvert cette vulnérabilité, le hacker a tenté de prendre contact avec les équipes du projet afin de les alerter et, pourquoi pas, récupérer quelques dizaines de milliers de dollars en récompenses pour avoir trouvé la faille. 

Cependant, après avoir publié le problème sur la plateforme de bug bounty Immunefi, où Sushiswap offre une récompense allant jusqu’à 40 000 dollars pour la divulgation d’une faille critique, le hacker a vu sa publication supprimée, sans aucune récompense. C’est alors qu’il a décidé de rendre l’affaire publique, afin de « sensibiliser les utilisateurs actuels et futurs de Sushiswap aux risques qu’ils prennent en faisant confiance à ces contrats vulnérables ».

Finalement, les équipes de Sushiswap ont réagi à cette affaire suite à la publication de Coinfomania. Le CTO de Sushiswap, Joseph Delong, n’y est pas allé de main morte dans ses réponses sur Twitter :

« Nous voulons une rétractation. Cet article n’a pas fait le minimum de recherche ou de vérification des sources. Joli titre, mais c’est une pure connerie. »

Commentaires Twitter de Jospeh Delong annonçant qu'il veut une rétractation à cause de la vulnérabilité non avérée sur Sushiswap
Commentaires de Jospeh Delong – Source : Twitter

Le développeur Mudit Gupta a, quant à lui, réagi de manière plus construite en expliquant pourquoi il ne s’agissait pas d’une vulnérabilité :

« Il ne s’agit pas d’une vulnérabilité. Aucun fonds n’est en danger. Si le rewarder est à court de récompenses, le retrait de LP échoue, mais n’importe qui (pas seulement Sushi) peut recharger le rewarder en cas d’urgence. »

Il précise, par la suite, que ce mécanisme serait modifié dans la prochaine version des contrats MasterChef, mais que cela prend du temps de réaliser les audits et migrer les contrats de production. 

La réaction des équipes de Sushiswap s’avère quelque peu violente face à un internaute qui tentait simplement de faire remonter un mécanisme curieux. Une réaction d’autant plus surprenante que Sushiswap a eu à 2 reprises sur des vulnérabilités sur sa plateforme Miso au cours des derniers mois, dont l’une a entraîné la perte de 3,1 millions de dollars.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.