SushiSwap 开发人员不同意黑客的“十亿美元”漏洞发现

　　由匿名白帽黑客发布的 SushiSwap 漏洞报告已被流行的去中心化交易所背后的开发人员拒绝。

　　黑客和他在 SushiSwap 网络中的所谓漏洞首先是通过媒体报道曝光的。 同时，黑客声称用户可能会因这些威胁而遭受价值超过 10 亿美元的资金损失。

　　黑客还承认仅在试图以保密方式提请 SushiSwap 开发人员注意此信息并没有采取任何行动后才将信息公之于众。

　　在报告中，黑客声称在 SushiSwap 的两个合约 MasterChefV2 和 MiniChefV2 中发现了“emergencyWithdraw 功能中的漏洞”。 这些合约管理交易所在非以太坊侧链上的 2x 奖励农场和矿池，例如 币安智能链、Polygon、Fantom、Avalanche 等。

　　EmergencyWithdraw 功能为使用 DeFi 服务的用户提供了一个安全网，基本上允许他们在紧急情况下立即提取其流动性提供者 (LP) 代币，同时没收在那之前获得的任何奖励。

　　根据黑客的说法，此功能具有误导性，因为如果 SushiSwap 矿池中没有奖励，它就不会按预期工作。

　　如果奖矿池中的奖励枯竭，则必须由项目团队使用多重签名帐户手动填充，同时通常在截然不同的时区进行操作。 黑客认为，这可能导致等待时间超过 10 个小时，然后才能撤回代币。

　　但是，该平台的开发人员现在已经澄清了。 该平台的“Shadowy Super Coder” Mudit Gupta 在 Twitter 上强调，威胁本身“不是漏洞”，并补充说“没有资金面临风险”。

　　开发人员声称，与黑客的说法相反，如果出现紧急情况，“任何人”都可以为该矿池充值。 这使得黑客解释的 10 小时多重签名过程变得无关紧要。

　　无论如何，黑客的意图似乎是“通过信任这些易受攻击的合约来教育当前和未来的 SushiSwap 用户他们所承担的风险”。 […]。 事实上，白帽黑客还指责 SushiSwap 处理他们面前的事情太随便了。

　　“问题”首先是通过平台的漏洞赏金计划 Immunefi 提出的。 同样，SushiSwap 向报告其代码中存在风险漏洞的用户提供高达 40,000 美元的奖励。

　　然而，这个问题在 Immunefi 上没有得到补偿。