SushiSwap'ta büyük bir güvenlik açığı tespit edildi.
SushiSwap'ta büyük bir güvenlik açığı tespit edildi.

SushiSwap’ın Uniswap’tan kendi platformuna göçü halen devam ettiğinden, tespit edilen bu açık henüz projeye bir tehdit oluşturmuyor.

SushiSwap, yeni token almak zorunda kalmadan birinin yönetim, yani oy kullanma gücünü, arttırabilecek sinsi bir hataya karşı savunmasız görünüyor.

Geliştirici Jong Seok Park tarafından 7 Eylül’de raporlanan hata, yönetim anlamında çifte harcama olarak tanımlanabilir.

Temelde, SushiSwap yönetimi, token sahiplerinin oy kullanma haklarını başka bir kişi ya da kuruluşa devretmesine izin verir. Bununla birlikte, token sahibi daha sonra tokenleri başka birine aktarırsa, tokenin ilk sahibi yine de oy kullanma hakkını korur. İkinci token sahibi kendisine transfer edilen tokenleri bir kez daha başka birilerine transfer edebilir ve bu şekilde zincir halinde oy kullanma hakkı saklı tutulmuş olur. Güvenlik açığı, token transferi yapıldıktan sonra yetki verme parametrelerini sıfırlanmamasından kaynaklanıyor.

SushiSwap’in yönetim sözleşmeleri büyük ölçüde Yam yönetiminin bir çatalıdır. Yam da Compund’un bir çatalıdır. Bununla birlikte, SushiSwap’in Github kaynak koduna bakıldığında, tokenin akıllı sözleşmesinin, OpenZeppelin tarafından geliştirilen ERC-20 sözleşmelerinin standart uygulamasından yalnızca “mint” işlevini değiştirdiği görülmektedir. Sushiswap aslında tamamen başka projelerden kopyalanmış bir klondur. Öte yandan Yam, aynı güvenlik açığını içermemektedir.

İlgili Haber:  Binance Akıllı Zincir'in İşlem Hacmi Birkaç Gün İçinde ETH Ağının %10'una Ulaştı

FTX CEO’su ve SushiSwap’ın yeni lideri Sam Bankman-Fried güvenlik açığının varlığını doğruladı. Yönetim fonksiyonu henüz etkinleştirilmediğinden, “SUSHI için acil bir sorun oluşturmuyor” dedi.

Canlıya geçmeden bu tür hataları önceden yakalamak, ekibin düzeltme yapmak için çözümler üzerinde çalışabileceği anlamına gelir. Bankman-Fried, projeyi yeni sözleşmelere taşımak zorunda kalmadan sorunun çözülebileceğine inanıyor.

Denetim firmaları ne kadar güvenilir?

Projenin popülaritesi artarken SushiSwap’in birden fazla denetim ve güvenlik firması tarafından alelacele incelendiğini ve denetlendiğini belirtmemiz lazım. Hatta geçtiğimiz günlerde yayınladığımız bir haberde SushiSwap’ın güvenlik testlerinin başarılı geçtiğini duyurmuştuk. İlginç bir şekilde bağımsız bir denetim firması tarafından yapılan denetimde bu güvenlik açığı raporlanmamıştı.

DeFi akıllı sözleşmelerini güvende tutmak için özel denetim firmalarından ziyade tüm topluluğunun devreye girmesi ve projeleri denetlemesi artık zaruri bir hal almış gözüküyor.

SushiSwap topluluğu halen projenin anonim kurucusunun elindeki tüm SUSHI tokenlerini satmasının şokunu yaşıyor.

Facebook Yorumları

CEVAP VER

Please enter your comment!
Please enter your name here