"Puede tomar aproximadamente 10 horas para que todos los titulares de firmas den su consentimiento para recargar la cuenta de recompensas, y algunos grupos de recompensas están vacíos varias veces al mes", afirmó el pirata informático, y agregó:
“Las implementaciones que no son de Ethereum y las recompensas 2x de SushiSwap (todas usando los contratos vulnerables MiniChefV2 y MasterChefV2) tienen más de USD 1 mil millones en valor total. Esto significa que este valor es esencialmente intocable durante 10 horas varias veces al mes ".
Sin embargo, el desarrollador seudónimo de SushiSwap ha recurrido a Twitter para rechazar las afirmaciones, y el "Shadowy Super Coder" de la plataforma, Mudit Gupta, enfatiza que la amenaza descrita "no es una vulnerabilidad" y que "no hay fondos en riesgo".
Dogecoin es más popular que nunca... incluso cuando los TX alcanzan el nivel más bajo desde 2017
Gupta aclaró que "cualquiera" puede recargar el recompensador del grupo en caso de una emergencia, evitando gran parte del proceso multi-sig de 10 horas que el pirata informático afirmó que es necesario para reponer el grupo de recompensas. Agregaron:
“La afirmación del pirata informático de que alguien puede poner una gran cantidad de LP para agotar el recompensador más rápido es incorrecta. La recompensa por LP disminuye si agrega más LP ".
El pirata informático dijo que se les había ordenado informar la vulnerabilidad en la plataforma de recompensas por errores Immunefi, donde SushiSwap ofrece pagar recompensas de hasta USD 40,000 a los usuarios que informan vulnerabilidades de riesgo en su código, después de que se comunicaron por primera vez con el exchange.
Señalaron que el problema se cerró en Immunefi sin compensación, y SushiSwap declaró que estaba al tanto del asunto descrito.