SushiSwap、ハッキング被害の対応・対策など最新状況を報告

Blocksecが資金の一部を回収

ブロックチェーンセキュリティ企業Blocksecは9日、SushiSwap（SUSHI）からハッキングにより流出した資金のうち、約2,600万円相当の100イーサリアム（ETH）を回収したと発表した。SushiSwapも最新の状況を報告している。

SushiSwapでは、「RouterProcessor2コントラクト」で承認（Approve）に関連するバグが悪用され、少なくとも1アカウントが約4.4億円（330万ドル）相当の損失を被ったと見積もられているところだ。

1/ RouteProcessor2 @SushiSwap has a vulnerability that can drain accounts that approved to this contract. Our system immediately detected the attack attempt to @0xsifu and rescued some funds. Unfortunately, some other funds cannot be rescued.https://t.co/Fky1kgGmvA pic.twitter.com/I4tJbZ82bU

— BlockSec (@BlockSecTeam) April 9, 2023

Blocksecは、同社のシステムが迅速にハッキング攻撃を検知して、資産の一部を救出したと述べる。だが、回収できたのは盗まれた資金の約5.6％のみであり、他は救出できなかったとも続けた。

なお、この他にSushiSwapの責任者Jared Grey氏も9日、300イーサリアムを回収したことを確認している。リキッドステーキング・プロトコル「Lido Finance」に連絡を取り、残りの700イーサリアムを取り戻すために動いているところだとしていた。

関連：分散型取引所SushiSwapで4億円相当のハッキング

現在の状況

🚨 Update on the status of the RouteProcessor2 bug

🧵A summary below on: what happpened, what the team is working on and what you can do.

‼️ Also, beware of fake DMs of scammers reaching out to you. SUSHI TEAM/SUPPORT DOES NOT DM FIRST.

Talk to us @ https://t.co/cGda2UVpAh

👇🏻

— Sushi.com (@SushiSwap) April 10, 2023

SushiSwapは10日、事件について最新の報告を発表。現在、次の事項に取り組んでいると説明している。

• 「RouteProcessor2」をターゲットにしたハッキングの影響を受けるすべてのアドレスを特定する作業
• 資金を救出するための、ホワイトハット・ハッカーによる作業
• 救出した資金をユーザーに返還するための計画の策定
• 事後報告レポートを執筆

また、「RouterProcessor2」以外のコントラクトは影響を受けておらず、Sushiswapの流動性は維持されているとも続けた。Sushiswapは、悪意あるコントラクトを承認していた場合は、承認取り消しを行うようユーザーに呼びかけているところだ。

ハッキングの混乱にともなう偽アカウント詐欺についても注意喚起しており、公式アカウントの情報を参照するよう強調している。

Some quick notes on @SushiSwap, post-exploit.

1. You can now safely swap/trade on Sushi.
2. We've removed the exploited contract.
3. Please confirm you've removed approvals for the exploited RouteProcessor2 contract here: https://t.co/8BKQ2FSF0f

— Jared Grey (@jaredgrey) April 9, 2023

Jared Grey氏も10日、最新状況を報告。SushiSwapでの取引を安全に再開できるようになったと述べた。悪用されたコントラクトは取り除いたとも続ける。また、今回のハッキングで流動性プールはいずれも影響を受けていないとも説明した。