SushiSwap主厨：建议在撤销所有链上RouteProcessor2合约

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9日， Sushiswap项目遭到攻击，部分授权用户资产已被转移。 根本原因是由于合约的值lastCalledPool重置在校验之前，导致合约中针对pool的检查失效，从而允许攻击者swap时指定恶意pool转出授权用户资金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例： 1.攻击者在约30天前创建了恶意pool合约 2.调用SushiSwap的路由函数processRoute进行swap，指定了创建的恶意合约为pool合约 3.最后在swap后恶意合约调用uniswapV3SwapCallback，指定tokenIn为WETH，from地址为受害者用户地址(sifuvision.eth)，从而利用受害用户对路由合约的授权转移走资金。 建议用户取消不同链上Sushiswap RouteProcessor2合约的授权。

8月20日消息，慢雾在推特发文提醒：请用户检查是否已将资产授权到BNB Chain上的一恶意合约地址：0x75117c9158f53998ce8689B64509EFf4FA10AD80。 该恶意合约尚未通过开源进行验证，但反编译显示其存在针对授权资产的任意转账后门。这种类型的后门让用户钱包在很长一段时间内保持正常使用，但当某天转移一笔金额稍大的资产时，它会突然被盗，而链上不会显示任何最近的异常授权。 用户可使用Revoke.cash和Rabby Wallet进行快速验证并撤销异常授权。以下是与上述合约相关的恶意地址：0xE2A178C2C5C4920C1b2B947A35edDb4f8EcBb7dD、0xB88457b62491CBcEc42203672cFcb4269d64c7e。请用户保持警惕。

4月26日消息，SushiSwap 已上线 RouteProcessor2 漏洞赔偿门户，可通过该门户获得赔偿的用户为资金保管在 0x74eb 开头的合约中的用户，SushiSwap 将定期更新合约以包含未来可能继续回收的资金。资金未被包含在该合约中的用户需填写谷歌表单来执行单独的索赔流程。

1月4日消息，Arbitrum 生态 AMM 协议 Chronos 发布公告，披露其由 Dyson 管理的集中流动性池遭受了类似于 Gamma 漏洞的攻击。为确保用户安全，Chronos 强烈建议所有用户撤销与这些流动性池相关的合约。值得注意的是，此次攻击仅针对集中流动性池，其余 V2 流动性池安全无恙，资金亦得到保障。 目前，Chronos 正与所有相关方及安全专家紧密合作，以应对此次安全事件。该协议将随时提供最新进展。Chronos 还提醒用户提高警惕，避免点击来自非官方账户的可疑链接。

金色财经报道，去中心化交易所 (DEX) SushiSwap 周四宣布，开始在 13 个网络中推出新的 V3流动性池，包括 Ethereum、Arbitrum 和 Polygon、BSC 和 Avalanche等，此次推出旨在让流动性提供者接触到更大的交易量和流动性，同时减少金融风险。该协议还引入了智能订单系统 Tines，旨在与协议的新路由处理器一起为用户提供“最低成本的交易”和“最大的资本效率”。 据 DEX 团队称，未来几个月，v3 流动性池将在 30 多个链上可用。增加对跨链活动的支持是该团队对 DEX 未来愿景的重要组成部分。

4月9日消息，反网络钓鱼解决方案 Scam Sniffer 提醒称，仍有超 1200 个地址未撤销 SushiSwap 合约漏洞相关权限。