Протоколот за децентрализиран финансиски протокол заснован на биткоин, Соврин претрпе голем искористување во вторникот, при што хакер извади 1.1 милиони долари од протоколот.
Хакерот ја искористил наследната функција за да го исцеди протоколот, користејќи техника за манипулација со цените во еден од базените за заеми на протоколот.
Детали за хакот
Соврин објави а блог пост Детали за нападот, кој конкретно го таргетираше наследениот протокол Sovryn Borrow/Lend, кој влијаеше на базените за заеми RBTC и USDT. Нападот им овозможи на хакерите да исфрлат крипто во вредност од над 1 милион долари од протоколот, кој исто така вклучуваше 211,045 USDT и 44.93 RBTC.
RBTC и USDT се врзани за Bitcoin и американскиот долар. Во случајот на Sovryn, тие се засноваат на Rootstock (RSK), страничен синџир на Bitcoin кој е дизајниран да го прошири паметниот договор на вториот, децентрализираната апликација (dApp) и способностите за скалирање. Протоколот Sovryn е изграден на блокчејн RSK. Деталите за хакирањето беа споделени на Твитер од рачката наречена @web3isgreat, која наведе:
„Протоколот DeFi, базиран на биткоин, Sovryn, изгуби 1 милион долари поради напад со манипулација со цените. Експлоататор можеше да ја искористи наследната функционалност за заем и позајмување на проектот за злонамерно да повлече 44.93 RBTC (~ 915,000 долари) и 211,045 USDT“.
Напаѓачот ја користел и функцијата за замена на AMM на Sovryn за да повлече дел од средствата, што значело дека тие завршиле со неколку различни видови токени. Во блог постот се додава и дека напорите за враќање на средствата сè уште траат.
„Поради преземениот повеќеслоен безбедносен пристап, развивачите можеа да ги идентификуваат и повратат средствата додека напаѓачот се обидуваше да ги повлече средствата. Во овој момент, преку заеднички напор, развивачите успеаја да повратат околу половина од вредноста на експлоатацијата“.
Првиот хак што го претрпел Соврин
Според портпаролот на Sovryn, Едан Јаго, експлоатацијата била првата досега успешна експлоатација на протоколот во неговите двегодишно работење. Тој продолжи да нагласи дека Sovryn, и покрај хакирањето, останува еден од најтешко ревидираните DeFi системи, со неколку активни награди за грешки. Искористувањето манипулираше со цената на iToken на Sovyrn, кои се каматни токени кои го претставуваат уделот на крипто што го држи корисникот во базен за заеми.
Како функционираше The Exploit
Хакерот прво го купил WRBTC (Wrapped RBTC) преку флеш замена на RskSwap. По ова, хакерот го позајмил WRBTC од договорот за заем на Sovryn, користејќи го нивниот сопствен XUSD како колатерал. Објавата на блогот дополнително е елаборирана,
„Напаѓачот потоа обезбеди ликвидност на договорот за заем со RBTC, го затвори нивниот заем со трампа користејќи го нивниот XUSD колатерал, го откупи (запали) нивниот iRBTC токен и го испрати WRBTC назад во RskSwap за да се заврши флеш замената.
Овој процес му помогна на хакерот да манипулира со цената на iToken, овозможувајќи им да повлече повеќе RBTC од целниот базен за заеми отколку што беше првично депонирано. Сепак, Соврин изјави дека хакирањето не влијаело на средствата на корисниците на кој било начин и дека секоја вредност што недостасува од базените за заеми ќе биде компензирана преку трезорот на Соврин.
Што е следно?
Соврин исто така фрли светлина на тоа како протоколот ќе се справи со проблемот напредувајќи напред. Во објавата на блогот, компанијата изјави дека ќе продолжат напорите за враќање на средствата од хакерот и ќе биде покрената целосна истрага за експлоатацијата. Тимот во Sovryn исто така работи на план за враќање на системот во целосна функционалност. Сепак, се додава дека режимот на одржување ќе остане на место додека не се има целосна доверба во безбедноста на системот. Исто така, се додава дека ќе биде објавен и извештај по смртта откако ќе заврши истрагата.
Одрекување: Овој напис е даден само за информативни цели. Не е понуден или наменет да се користи како правен, даночен, инвестициски, финансиски или друг совет.
Извор: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen