Decentralizovani finansijski protokol zasnovan na bitkoinu Sovryn pretrpeo je veliki eksploataciju u utorak, kada je haker izvukao 1.1 milion dolara iz protokola.
Haker je iskoristio naslijeđenu funkciju za iscrpljivanje protokola, koristeći tehniku manipulacije cijenama u jednom od fondova za pozajmljivanje protokola.
Detalji hakovanja
Sovryn je objavio a blog post detaljno opisuje napad, koji je posebno ciljao naslijeđeni Sovryn Borrow/Lend protokol, koji je uticao na RBTC i USDT kreditne fondove. Napad je omogućio hakerima da izvuku kriptovalute u vrijednosti od preko milion dolara iz protokola, koji je također uključivao 1 USDT i 211,045 RBTC.
RBTC i USDT su vezani za Bitcoin i američki dolar. U slučaju Sovryna, bazirani su na Rootstock-u (RSK), bočnom lancu Bitcoin-a koji je dizajniran da proširi pametni ugovor potonjeg, decentraliziranu aplikaciju (dApp) i mogućnosti skaliranja. Protokol Sovryn je izgrađen na RSK blockchainu. Detalje o haku podijelio je na Twitteru rukovatelj pod nazivom @web3isgreat, koji je naveo,
“DeFi protokol baziran na bitcoinima, Sovryn, izgubio je milion dolara zbog napada manipulacije cijenama. Eksploatator je bio u mogućnosti da iskoristi naslijeđenu funkciju pozajmljivanja i pozajmljivanja da zlonamjerno povuče 1 RBTC (~44.93 915,000 USD) i 211,045 XNUMX USDT.”
Napadač je također koristio Sovrynovu AMM swap funkciju da povuče dio sredstava, što je značilo da su na kraju dobili nekoliko različitih vrsta tokena. Na blogu se također dodaje da su napori za povrat sredstava još uvijek u toku.
“Zbog višeslojnog sigurnosnog pristupa, programeri su uspjeli identificirati i povratiti sredstva dok je napadač pokušavao povući sredstva. U ovom trenutku, zajedničkim naporima, programeri su uspjeli povratiti otprilike polovinu vrijednosti eksploatacije.”
Prvi hak koji je pretrpio Sovryn
Prema glasnogovorniku Sovryna Edana Yagoa, eksploatacija je bila prva uspješna eksploatacija protokola u dvije godine rada. Dalje je naglasio da Sovryn, uprkos haku, ostaje jedan od DeFi sistema sa najvećom revizijom, sa nekoliko aktivnih nagrada za greške. Eksploatacija je manipulisala cijenom Sovyrnovog iTokena, koji su tokeni s kamatama koji predstavljaju udio kriptovaluta koji korisnik drži u fondu za pozajmljivanje.
Kako je eksploatacija funkcionirala
Haker je prvo kupio WRBTC (Wrapped RBTC) putem fleš swap-a na RskSwap-u. Nakon toga, haker je pozajmio WRBTC iz Sovrynovog ugovora o zajmu, koristeći svoj XUSD kao kolateral. Post na blogu je dalje razrađen,
“Napadač je tada osigurao likvidnost RBTC ugovoru o pozajmljivanju, zatvorio svoj zajam zamjenom koristeći svoj XUSD kolateral, otkupio (spalio) njihov iRBTC token i poslao WRBTC natrag u RskSwap da dovrši fleš swap.”
Ovaj proces je pomogao hakeru da manipuliše cijenom iTokena, omogućavajući im da povuku više RBTC-a iz ciljanog fonda pozajmljivanja nego što je prvobitno deponovano. Međutim, Sovryn je naveo da hak nije ni na koji način utjecao na korisnička sredstva i da će svaka vrijednost koja nedostaje iz kreditnih fondova biti nadoknađena kroz trezor Sovryna.
Šta dalje?
Sovryn također baci svjetlo na to kako će protokol rješavati problem u budućnosti. U postu na blogu, kompanija je navela da će se napori na povratu imovine od hakera nastaviti i da će biti pokrenuta potpuna istraga o eksploataciji. Tim u Sovrynu također radi na planu vraćanja sistema u punu funkcionalnost. Međutim, dodaje se da će režim održavanja ostati na snazi sve dok ne bude potpunog povjerenja u sigurnost sistema. Također je dodao da će obdukcijski izvještaj također biti objavljen kada se istraga završi.
Izjava o odricanju odgovornosti: Ovaj članak je samo u informativne svrhe. Nije ponuđen niti je namijenjen da se koristi kao pravni, porezni, investicioni, finansijski ili drugi savjet.
Izvor: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen