A Bitcoin-alapú decentralizált pénzügyi protokoll, a Sovryn kedden jelentős visszaélést szenvedett el, egy hacker 1.1 millió dollárt vont ki a protokollból.
A hacker egy örökölt funkciót használt ki a protokoll lemerítésére, ármanipulációs technikát alkalmazott a protokoll egyik kölcsönzési csoportjában.
A Hack részletei
Sovryn kiadta a blogbejegyzés részletezi a támadást, amely kifejezetten az örökölt Sovryn Borrow/Lend protokollt célozta, amely hatással volt az RBTC és az USDT hitelállományára. A támadás lehetővé tette a hackerek számára, hogy több mint 1 millió dollár értékű kriptot ürítsenek ki a protokollból, amely 211,045 44.93 USDT-t és XNUMX RBTC-t is tartalmazott.
Az RBTC és az USDT Bitcoinhoz és az amerikai dollárhoz van kötve. A Sovryn esetében ezek a Rootstockon (RSK) alapulnak, amely a Bitcoin oldallánca, amely az utóbbi intelligens szerződésének, decentralizált alkalmazásának (dApp) és skálázási képességeinek bővítésére szolgál. A Sovry protokoll az RSK blokkláncra épül. A feltörés részleteit a @web3isgreat nevű kezelő osztotta meg a Twitteren, és azt írta,
„A bitcoin alapú DeFi protokoll, a Sovryn 1 millió dollárt veszített egy ármanipulációs támadás miatt. Egy kizsákmányoló a projekt örökölt kölcsönzési és kölcsönzési funkciójával 44.93 RBTC-t (~915,000 211,045 USD) és XNUMX XNUMX USDT rosszindulatúan visszavonhatott.”
A támadó a Sovryn AMM swap funkcióját is felhasználta a pénz egy részének visszavonására, ami azt jelentette, hogy több különböző típusú tokenhez jutottak. A blogbejegyzés azt is hozzátette, hogy a források visszaszerzésére irányuló erőfeszítések még folynak.
„A többrétegű biztonsági megközelítésnek köszönhetően a fejlesztők képesek voltak azonosítani és visszaszerezni a pénzeszközöket, miközben a támadó megpróbálta kivenni az összeget. Ezen a ponton, közös erőfeszítéssel a fejlesztőknek sikerült visszaszerezniük a kihasználás értékének körülbelül a felét.”
Az első feltörés, amelyet Sovryn szenvedett el
A Sovry szóvivője, Edan Yago szerint ez volt a protokoll első sikeres kiaknázása a kétéves működése során. Majd hangsúlyozta, hogy a Sovryn a feltörés ellenére továbbra is az egyik legszigorúbban ellenőrzött DeFi rendszer, számos aktív hibajavítással. A kizsákmányolás manipulálta a Sovyrn iToken árát, amely kamatozó tokenek, amelyek a felhasználó kriptográfiai részesedését képviselik a kölcsönzési poolban.
Hogyan működött az Exploit
A hacker először a WRBTC-t (Wrapped RBTC) vásárolta meg az RskSwap flash cseréjével. Ezt követően a hacker kölcsönvette a WRBTC-t Sovryn kölcsönszerződéséből, saját XUSD-jukat használva fedezetként. A blogbejegyzés részletesebben kifejtette,
„A támadó ezután likviditást biztosított az RBTC kölcsönszerződéshez, a kölcsönüket XUSD-biztosítékuk felhasználásával swaptal zárta, beváltotta (elégette) az iRBTC tokenjét, és visszaküldte a WRBTC-t az RskSwap-nak, hogy befejezze a flash-swapot.”
Ez a folyamat segített a hackernek manipulálni az iToken árát, lehetővé téve számukra, hogy több RBTC-t vonjanak ki a megcélzott hitelállományból, mint amennyit eredetileg letétbe helyeztek. Sovryn azonban kijelentette, hogy a feltörés semmilyen módon nem érintette a felhasználói pénzeszközöket, és a hitelállományból hiányzó értéket a Sovryn kincstárán keresztül kompenzálják.
Mi a következő lépés?
Sovryn arra is rávilágított, hogy a protokoll hogyan kezeli a kérdést a továbbiakban. A blogbejegyzésben a cég kijelentette, hogy folytatják a vagyon visszaszerzésére irányuló erőfeszítéseket a hackertől, és teljes körű vizsgálatot indítanak a visszaélés ügyében. A Sovryn csapata a rendszer teljes funkcionalitásának visszaállításán is dolgozik. Hozzátette azonban, hogy a karbantartási mód mindaddig érvényben marad, amíg teljesen meg nem bízik a rendszer biztonságában. Hozzátette azt is, hogy a nyomozás befejezése után egy post mortem jelentést is közzétesznek.
Jogi nyilatkozat: Ez a cikk csak tájékoztató jellegű. Nem ajánlják fel, és nem kívánják felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen