Bitcoinil põhinev detsentraliseeritud finantsprotokoll Sovryn kannatas teisipäeval suure ärakasutamise all – häkker võttis protokollist välja 1.1 miljonit dollarit.
Häkker kasutas protokolli tühjendamiseks pärandfunktsiooni, kasutades hinna manipuleerimise tehnikat ühes protokolli laenukogumis.
Hacki üksikasjad
Sovryn avaldas a blogi postitus kirjeldades üksikasjalikult rünnakut, mis oli konkreetselt suunatud pärand Sovryni laenu/laenutamise protokollile, mis mõjutas RBTC ja USDT laenukogumeid. Rünnak võimaldas häkkeritel protokollist välja tõmmata üle miljoni dollari väärtuses krüptovara, mis sisaldas ka 1 211,045 USDT ja 44.93 RBTC.
RBTC ja USDT on seotud Bitcoini ja USA dollariga. Sovryni puhul põhinevad need Rootstockil (RSK), Bitcoini külgahelal, mis on mõeldud viimase nutika lepingu, detsentraliseeritud rakenduse (dApp) ja skaleerimisvõimaluste laiendamiseks. Sovryni protokoll on üles ehitatud RSK plokiahelale. Häkkimise üksikasju jagas Twitteris käepide nimega @web3isgreat, mis teatas,
"Bitcoinil põhinev DeFi-protokoll Sovryn kaotas hinnaga manipuleerimise rünnaku tõttu miljon dollarit. Ekspluateerija suutis kasutada projekti pärandit laenu ja laenata, et pahatahtlikult välja võtta 1 RBTC (~ 44.93 915,000 dollarit) ja 211,045 XNUMX USDT.
Ründaja kasutas osa raha väljavõtmiseks ka Sovryni AMM-i vahetusfunktsiooni, mis tähendas, et nad said mitut erinevat tüüpi žetoone. Blogipostituses lisati ka, et pingutused raha tagasisaamiseks alles käivad.
„Kasutatud mitmekihilise turvalisuse tõttu suutsid arendajad raha tuvastada ja tagasi saada, kui ründaja üritas raha välja võtta. Praeguseks on arendajatel ühiste jõupingutustega õnnestunud taastada umbes pool ekspluatatsiooni väärtusest.
Esimene häkkimine, mille kannatas Sovryn
Sovryni pressiesindaja Edan Yago sõnul oli see ärakasutamine protokolli esimene edukas ärakasutamine selle kahe tegevusaasta jooksul. Ta rõhutas, et Sovryn on häkkimisest hoolimata endiselt üks enim auditeeritud DeFi süsteeme, millel on mitu aktiivset veahüvitist. Ärakasutamine manipuleeris Sovyrni iTokeni hinnaga, mis on intressi kandvad märgid, mis esindavad kasutajale kuuluvat krüptoosa laenukogumis.
Kuidas ärakasutamine töötas
Häkker ostis esmalt WRBTC (Wrapped RBTC) RskSwapi välkvahetuse kaudu. Pärast seda laenas häkker WRBTC-d Sovryni laenulepingust, kasutades tagatiseks nende enda XUSD-d. Ajaveebi postituses on täpsemalt kirjeldatud,
"Seejärel andis ründaja RBTC laenulepingule likviidsust, lõpetas laenu vahetustehinguga, kasutades nende XUSD tagatist, lunastas (põletas) oma iRBTC märgi ja saatis WRBTC tagasi RskSwapile, et kiirvahetustehing lõpetada."
See protsess aitas häkkeril iTokeni hinnaga manipuleerida, võimaldades neil sihitud laenukogumist välja võtta rohkem RBTC-d, kui algselt hoiustati. Sovryn teatas aga, et häkkimine ei mõjutanud kasutajate rahalisi vahendeid kuidagi ja laenukogumitest puuduv väärtus hüvitatakse Sovryni riigikassa kaudu.
Mis edasi?
Sovryn valgustas ka seda, kuidas protokoll probleemiga edasi tegeleb. Blogipostituses teatas ettevõte, et jõupingutused häkkerilt varade tagasinõudmiseks jätkuvad ning ärakasutamise kohta alustatakse täielikku uurimist. Sovryni meeskond töötab ka plaani kallal, et taastada süsteemi täielik funktsionaalsus. Samas lisas ta, et hooldusrežiim jääb kehtima seni, kuni süsteemi ohutuses on täielik usaldus. Samuti lisati, et pärast uurimise lõpetamist avaldatakse ka surmajärgne aruanne.
Kohustustest loobumine: see artikkel on ette nähtud ainult teavitamise eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- või muu nõuandena.
Allikas: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen