Zdecentralizowany protokół finansowy oparty na Bitcoinie Sovryn doznał we wtorek poważnego exploita, a haker wyciągnął z protokołu 1.1 miliona dolarów.
Haker wykorzystał starszą funkcję, aby opróżnić protokół, wykorzystując technikę manipulacji ceną w jednej z pul wypożyczeń protokołu.
Szczegóły włamania
Sovryn opublikował a blogu szczegółowo opisujący atak, którego celem był konkretnie starszy protokół pożyczki/pożyczki Sovryn, który wpłynął na pule pożyczek RBTC i USDT. Atak umożliwił hakerom wyciągnięcie z protokołu kryptowalut o wartości ponad 1 miliona dolarów, w tym 211,045 44.93 USDT i XNUMX RBTC.
RBTC i USDT są powiązane z Bitcoinem i dolarem amerykańskim. W przypadku Sovryn są one oparte na Rootstock (RSK), łańcuchu bocznym Bitcoina, który ma na celu rozszerzenie inteligentnego kontraktu tego ostatniego, zdecentralizowanej aplikacji (dApp) i możliwości skalowania. Protokół Sovryn jest zbudowany na łańcuchu bloków RSK. Szczegóły włamania zostały udostępnione na Twitterze przez adres o nazwie @web3isgreat, który stwierdził:
„Protokół DeFi oparty na bitcoinach, Sovryn, stracił 1 milion dolarów w wyniku ataku manipulacji cenami. Exploiter był w stanie użyć starszej funkcji pożyczania i pożyczania projektu, aby złośliwie wycofać 44.93 RBTC (~ 915,000 211,045 USD) i XNUMX XNUMX USDT”.
Atakujący wykorzystał również funkcję wymiany AMM Sovryn, aby wypłacić część środków, co oznaczało, że otrzymali kilka różnych typów tokenów. W poście na blogu dodano również, że nadal trwają starania o odzyskanie środków.
„Dzięki przyjętemu wielowarstwowemu podejściu do bezpieczeństwa, programiści byli w stanie zidentyfikować i odzyskać środki, gdy atakujący próbował je wypłacić. W tym momencie, dzięki połączonym wysiłkom, deweloperom udało się odzyskać około połowy wartości exploita”.
Pierwszy hack, którego doświadczył Sovryn
Według rzecznika Sovryn, Edana Yago, exploit był pierwszym udanym wykorzystaniem protokołu w ciągu dwóch lat jego działania. Następnie podkreślił, że Sovryn, pomimo włamania, pozostaje jednym z najlepiej kontrolowanych systemów DeFi, z kilkoma aktywnymi nagrodami za błędy. Exploit manipulował ceną iToken firmy Sovyrn, która jest oprocentowanymi tokenami reprezentującymi udział krypto posiadanego przez użytkownika w puli pożyczek.
Jak działał exploit
Haker po raz pierwszy kupił WRBTC (Wrapped RBTC) poprzez wymianę flash na RskSwap. Następnie haker pożyczył WRBTC z umowy pożyczkowej Sovryn, wykorzystując jako zabezpieczenie własne XUSD. Post na blogu został bardziej rozwinięty,
„Atakujący następnie zapewnił płynność umowie pożyczki RBTC, zamknął pożyczkę za pomocą swapu przy użyciu zabezpieczenia XUSD, odkupił (spalił) swój token iRBTC i odesłał WRBTC z powrotem do RskSwap w celu dokończenia flash swap”.
Proces ten pomógł hakerowi manipulować ceną iToken, umożliwiając mu wycofanie większej liczby RBTC z docelowej puli pożyczek niż początkowo zdeponowano. Sovryn stwierdził jednak, że włamanie nie wpłynęło w żaden sposób na fundusze użytkowników i że wszelkie brakujące wartości z puli pożyczek zostaną zrekompensowane przez skarbiec Sovryn.
Co dalej?
Sowryn rzucają również światło na to, jak protokół poradzi sobie z tym problemem w przyszłości. W poście na blogu firma stwierdziła, że wysiłki mające na celu odzyskanie zasobów od hakera będą kontynuowane i zostanie uruchomione pełne dochodzenie w sprawie exploita. Zespół Sovryn pracuje również nad planem przywrócenia pełnej funkcjonalności systemu. Dodał jednak, że tryb konserwacji pozostanie na miejscu, dopóki nie będzie pełnego zaufania do bezpieczeństwa systemu. Dodał również, że raport z sekcji zwłok zostanie również opublikowany po zakończeniu dochodzenia.
Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen