Les équipes de Sushiswap s’offusquent – Lancée il y a un peu plus d’un an, la plateforme d’échange Sushiswap a su devenir un incontournable de la sphère DeFi. Initialement développée sur Ethereum (ETH), celle-ci est désormais accessible sur de nombreuses autres blockchains, telles que Polygon, la Binance Smart Chain (BSC) ou encore Avalanche.
Une vulnérabilité présente sur Sushiswap ?
Le 23 septembre, le média Coinfomania a été sous le feu des projecteurs après avoir publié un papier concernant une potentielle faille sur Sushiswap.
D’après les informations rapportées, un hacker white hat aurait découvert une vulnérabilité qui mettrait en danger « au moins 1 milliard de dollars de fonds d’utilisateurs ».
Selon le rapport fourni par le hacker, ce serait la fonction emergencyWithdraw, présente dans les contrats MasterChefV2 et MiniChefV2, qui serait incriminée. Cette fonction permet aux fournisseurs de liquidités de retirer leurs jetons dans le cas d’un évènement urgent, en perdant potentiellement toutes les récompenses obtenues jusqu’à ce moment-là.
Cependant, d’après le hacker, cette fonction ne fonctionne pas comme elle devrait. En effet, le retrait peut échouer s’il n’y a aucune récompense présente dans les pools de Sushiswap.
De ce fait, des utilisateurs pourraient potentiellement voir leurs fonds bloqués, si les pools de récompenses sont vides. Une situation qui s’est déjà produite, sachant que ce sont les développeurs qui rechargent les pools de récompenses manuellement via une adresse multi-signature.
« Cela peut prendre environ 10 h pour que tous les titulaires de signatures consentent à remplir le compte de récompenses, et certains pools de récompenses sont vides plusieurs fois par mois. »
Déclaration du hacker
>> Un airdrop et 10% de réduction ! Venez vite réclamer vos bonus sur Ascendex ! <<
Un faux problème pour Sushiswap
Après avoir découvert cette vulnérabilité, le hacker a tenté de prendre contact avec les équipes du projet afin de les alerter et, pourquoi pas, récupérer quelques dizaines de milliers de dollars en récompenses pour avoir trouvé la faille.
Cependant, après avoir publié le problème sur la plateforme de bug bounty Immunefi, où Sushiswap offre une récompense allant jusqu’à 40 000 dollars pour la divulgation d’une faille critique, le hacker a vu sa publication supprimée, sans aucune récompense. C’est alors qu’il a décidé de rendre l’affaire publique, afin de « sensibiliser les utilisateurs actuels et futurs de Sushiswap aux risques qu’ils prennent en faisant confiance à ces contrats vulnérables ».
Finalement, les équipes de Sushiswap ont réagi à cette affaire suite à la publication de Coinfomania. Le CTO de Sushiswap, Joseph Delong, n’y est pas allé de main morte dans ses réponses sur Twitter :
« Nous voulons une rétractation. Cet article n’a pas fait le minimum de recherche ou de vérification des sources. Joli titre, mais c’est une pure connerie. »
Le développeur Mudit Gupta a, quant à lui, réagi de manière plus construite en expliquant pourquoi il ne s’agissait pas d’une vulnérabilité :
« Il ne s’agit pas d’une vulnérabilité. Aucun fonds n’est en danger. Si le rewarder est à court de récompenses, le retrait de LP échoue, mais n’importe qui (pas seulement Sushi) peut recharger le rewarder en cas d’urgence. »
Il précise, par la suite, que ce mécanisme serait modifié dans la prochaine version des contrats MasterChef, mais que cela prend du temps de réaliser les audits et migrer les contrats de production.
La réaction des équipes de Sushiswap s’avère quelque peu violente face à un internaute qui tentait simplement de faire remonter un mécanisme curieux. Une réaction d’autant plus surprenante que Sushiswap a eu à 2 reprises sur des vulnérabilités sur sa plateforme Miso au cours des derniers mois, dont l’une a entraîné la perte de 3,1 millions de dollars.
Si vous lisez ceci, il n’est peut-être pas trop tard pour profiter d’une offre exceptionnelle réservée par Ascendex aux 400 premiers utilisateurs qui s’inscriront sur cette plateforme d’exchange réputée ! Outre bénéficier de 10% de réduction sur leurs frais de trading, un airdrop de 5$ supplémentaire vous sera offert (lien affilié, sous réserve de trader au moins 100$, voir conditions sur site).
