Uz Bitcoin balstītais decentralizētais finanšu protokols Sovryn otrdien cieta lielu ļaunprātīgu izmantošanu, un hakeris no protokola iztērēja 1.1 miljonu ASV dolāru.
Hakeris izmantoja mantoto funkciju, lai iztukšotu protokolu, izmantojot cenu manipulācijas paņēmienu vienā no protokola aizdevumu pūliem.
Sīkāka informācija par Hack
Sovryn publicēja a blog post detalizēti aprakstot uzbrukumu, kas īpaši bija vērsts uz mantoto Sovrynas aizdošanas/aizdevuma protokolu, kas ietekmēja RBTC un USDT aizdevumu kopumus. Uzbrukums ļāva hakeriem no protokola izņemt kriptovalūtu vairāk nekā 1 miljona dolāru vērtībā, kas ietvēra arī 211,045 44.93 USDT un XNUMX RBTC.
RBTC un USDT ir piesaistīti Bitcoin un ASV dolāram. Sovry gadījumā tie ir balstīti uz Rootstock (RSK), Bitcoin sānu ķēdi, kas ir izstrādāta, lai paplašinātu pēdējā viedo līgumu, decentralizētu lietojumprogrammu (dApp) un mērogošanas iespējas. Sovry protokols ir veidots uz RSK blokķēdes. Sīkāku informāciju par uzlaušanu vietnē Twitter kopīgoja rokturis ar nosaukumu @web3isgreat, kurā teikts:
“Uz bitkoinu balstītais DeFi protokols Sovryn zaudēja 1 miljonu dolāru cenu manipulācijas uzbrukuma dēļ. Izmantotājs varēja izmantot projekta mantoto aizdošanas un aizņemšanās funkcionalitāti, lai ļaunprātīgi izņemtu 44.93 RBTC (~ 915,000 211,045 USD) un XNUMX XNUMX USD.
Uzbrucējs arī izmantoja Sovrynas AMM mijmaiņas funkciju, lai izņemtu daļu līdzekļu, kas nozīmēja, ka viņi ieguva vairākus dažādu veidu žetonus. Emuāra ierakstā arī norādīts, ka joprojām turpinās centieni atgūt līdzekļus.
“Ņemot vērā izmantoto daudzslāņu drošības pieeju, izstrādātāji varēja identificēt un atgūt līdzekļus, kad uzbrucējs mēģināja izņemt līdzekļus. Šobrīd izstrādātājiem, kopīgiem spēkiem, ir izdevies atgūt aptuveni pusi no ekspluatācijas vērtības.
Pirmais uzlauzums, ko cieta Sovrins
Pēc Sovrynas pārstāvja Edana Jago teiktā, ekspluatācija bija pirmā veiksmīgā protokola izmantošana tā divu gadu darbības laikā. Viņš turpināja uzsvērt, ka Sovryn, neskatoties uz uzlaušanu, joprojām ir viena no vissmagāk pārbaudītajām DeFi sistēmām ar vairākām aktīvām kļūdu piemaksām. Ekspluatācija manipulēja ar Sovyrn iToken cenu, kas ir procentus nesoši marķieri, kas atspoguļo lietotājam piederošo kriptovalūtu daļu aizdevumu fondā.
Kā Exploit darbojās
Hakeris vispirms iegādājās WRBTC (Wrapped RBTC), izmantojot zibatmiņas maiņas darījumu vietnē RskSwap. Pēc tam hakeris aizņēmās WRBTC no Sovrynas aizdevuma līguma, kā nodrošinājumu izmantojot savu XUSD. Emuāra ieraksts ir sīkāk izstrādāts,
"Pēc tam uzbrucējs nodrošināja likviditāti RBTC aizdevuma līgumam, slēdza savu aizdevumu ar mijmaiņas darījumu, izmantojot XUSD nodrošinājumu, izpirka (sadedzināja) savu iRBTC marķieri un nosūtīja WRBTC atpakaļ uz RskSwap, lai pabeigtu zibatmiņas mijmaiņas darījumu."
Šis process palīdzēja hakeram manipulēt ar iToken cenu, ļaujot viņiem izņemt vairāk RBTC no mērķa aizdevumu kopas, nekā sākotnēji tika noguldīts. Tomēr Sovryn paziņoja, ka uzlaušana nekādā veidā neietekmēja lietotāju līdzekļus un ka jebkāda trūkstošā vērtība no aizdevumu fondiem tiks kompensēta ar Sovry kases starpniecību.
Kas tālāk?
Sovryna arī atklāja, kā protokols risinās šo problēmu. Emuāra ierakstā uzņēmums norādīja, ka turpināsies centieni atgūt īpašumus no hakera, un tiks uzsākta pilnīga ekspluatācijas izmeklēšana. Sovrynas komanda arī strādā pie plāna, lai atjaunotu sistēmas pilnu funkcionalitāti. Tomēr tā piebilda, ka apkopes režīms paliks spēkā, līdz būs pilnīga pārliecība par sistēmas drošību. Tā arī piebilda, ka pēc izmeklēšanas pabeigšanas tiks publicēts arī pēcnāves ziņojums.
Atruna: Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridisku, nodokļu, ieguldījumu, finanšu vai citu padomu.
Avots: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen