Decentralizirani finančni protokol Sovryn, ki temelji na bitcoinih, je v torek doživel veliko zlorabo, pri čemer je heker iz protokola izčrpal 1.1 milijona dolarjev.
Heker je izkoristil podedovano funkcijo za izčrpavanje protokola, pri čemer je uporabil tehniko manipulacije cen v enem od posodilnih bazenov protokola.
Podrobnosti o kramp
Sovryn je objavil a blog post s podrobnostmi o napadu, ki je bil posebej usmerjen na podedovani protokol Sovryn Borrow/Lend, kar je vplivalo na posojilna sklada RBTC in USDT. Napad je hekerjem omogočil, da so iz protokola izčrpali kripto v vrednosti več kot milijon dolarjev, ki je vključeval tudi 1 USDT in 211,045 RBTC.
RBTC in USDT sta vezana na Bitcoin in ameriški dolar. V primeru Sovryn temeljijo na Rootstocku (RSK), stranski verigi Bitcoina, ki je zasnovana za razširitev njegove pametne pogodbe, decentralizirane aplikacije (dApp) in zmogljivosti skaliranja. Protokol Sovryn je zgrajen na verigi blokov RSK. Podrobnosti o vdoru je na Twitterju delil vodja, imenovan @web3isgreat, ki je izjavil,
»Protokol DeFi, Sovryn, ki temelji na bitcoinih, je zaradi napada na manipulacijo cen izgubil 1 milijon dolarjev. Izkoriščevalec je lahko uporabil podedovano funkcijo posojanja in izposoje projekta, da je zlonamerno dvignil 44.93 RBTC (~915,000 $) in 211,045 USDT.«
Napadalec je uporabil tudi Sovrynovo funkcijo zamenjave AMM za dvig nekaterih sredstev, kar je pomenilo, da so imeli več različnih vrst žetonov. Objava na blogu je dodala tudi, da prizadevanja za izterjavo sredstev še vedno potekajo.
»Zaradi uporabljenega večplastnega varnostnega pristopa so razvijalci lahko identificirali in povrnili sredstva, ko je napadalec poskušal dvigniti sredstva. Na tej točki je s skupnimi prizadevanji razvijalcem uspelo povrniti približno polovico vrednosti izkoriščanja.«
Prvi vdor, ki ga je utrpel Sovryn
Po besedah tiskovnega predstavnika Sovryna Edana Yaga je bil izkoriščanje prvo uspešno izkoriščanje protokola v dveh letih delovanja. V nadaljevanju je poudaril, da Sovryn kljub vdoru ostaja eden najbolj revidiranih sistemov DeFi z več aktivnimi nagradami za napake. Izkoriščanje je manipuliralo s ceno Sovyrn iToken, ki so obrestovani žetoni, ki predstavljajo delež kripto, ki ga ima uporabnik v posojilnem bazenu.
Kako je Exploit deloval
Heker je najprej kupil WRBTC (Wrapped RBTC) prek bliskovne zamenjave na RskSwap. Po tem si je heker iz Sovrynove posojilne pogodbe izposodil WRBTC, pri čemer je kot zavarovanje uporabil lastne XUSD. Objava v spletnem dnevniku je podrobneje opisala,
"Napadalec je nato zagotovil likvidnost posojilni pogodbi RBTC, zaprl svoje posojilo z zamenjavo z uporabo njihovega zavarovanja XUSD, unovčil (zažgal) njihov žeton iRBTC in poslal WRBTC nazaj v RskSwap, da dokonča bliskovito zamenjavo."
Ta postopek je hekerju pomagal manipulirati s ceno iToken, kar mu je omogočilo, da iz ciljnega posojilnega sklada umakne več RBTC, kot je bilo prvotno deponirano. Vendar je Sovryn izjavil, da vdor ni na noben način vplival na sredstva uporabnikov in da bo kakršna koli manjkajoča vrednost iz posojilnih skladov nadomestila blagajna Sovryn.
Kaj sledi?
Sovrin osvetlili tudi, kako bo protokol reševal to težavo naprej. V objavi v spletnem dnevniku je družba izjavila, da se bodo prizadevanja za povrnitev premoženja hekerja nadaljevala in da bo sprožena popolna preiskava izkoriščanja. Ekipa v Sovrynu prav tako dela na načrtu za vrnitev sistema v polno funkcionalnost. Vendar je dodal, da bo način vzdrževanja ostal v veljavi, dokler ne bo popolnega zaupanja v varnost sistema. Dodali so tudi, da bo po zaključku preiskave objavljeno tudi obdukcijsko poročilo.
Izjava o omejitvi odgovornosti: Ta članek je na voljo samo v informativne namene. Ni ponujen ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen