Базираният на биткойн протокол за децентрализирано финансиране Sovryn претърпя сериозен експлойт във вторник, като хакер източи 1.1 милиона долара от протокола.
Хакерът е използвал наследена функция, за да източи протокола, използвайки техника за манипулиране на цената в един от пуловете за кредитиране на протокола.
Подробности за хакването
Соврин публикува a блог пост подробно описание на атаката, която е насочена конкретно към наследения протокол Sovryn Borrow/Lend, който е засегнал пуловете за заеми RBTC и USDT. Атаката позволи на хакерите да източат крипто на стойност над 1 милион долара от протокола, който също включва 211,045 44.93 USDT и XNUMX RBTC.
RBTC и USDT са обвързани с биткойн и щатския долар. В случая на Sovryn, те са базирани на Rootstock (RSK), странична верига на Bitcoin, която е предназначена да разшири интелигентния договор на последния, децентрализираното приложение (dApp) и възможностите за мащабиране. Протоколът Sovryn е изграден върху блокчейна RSK. Подробностите за хакването бяха споделени в Twitter от мениджър, наречен @web3isgreat, който заяви,
„Базираният на биткойн DeFi протокол, Sovryn, загуби 1 милион долара от атака за манипулиране на цената. Експлоататор успя да използва наследената функционалност за заемане и заемане на проекта, за да изтегли злонамерено 44.93 RBTC (~$915,000 211,045) и XNUMX XNUMX USDT.“
Нападателят също използва функцията за размяна на AMM на Sovryn, за да изтегли част от средствата, което означаваше, че в крайна сметка получиха няколко различни типа токени. В публикацията в блога се добавя още, че усилията за възстановяване на средствата все още продължават.
„Поради възприетия многопластов подход за сигурност, разработчиците успяха да идентифицират и възстановят средства, докато нападателят се опитваше да изтегли средствата. Към този момент, чрез комбинирани усилия, разработчиците са успели да възстановят около половината от стойността на експлойта.“
Първият хак, понесен от Sovryn
Според говорителя на Sovryn Edan Yago експлойтът е първият в историята успешен експлоат на протокола за две години работа. Той продължи да подчертава, че Sovryn, въпреки хака, остава една от най-тежко одитираните DeFi системи, с няколко активни награди за грешки. Експлойтът манипулира цената на iToken на Sovyrn, които са лихвоносни токени, които представляват дела от крипто, държан от потребител в пул за заеми.
Как работи експлойтът
Хакерът първо закупи WRBTC (Wrapped RBTC) чрез флаш суап на RskSwap. След това хакерът взе назаем WRBTC от договора за заем на Sovryn, използвайки техния собствен XUSD като обезпечение. Публикацията в блога е доразвита,
„След това нападателят предостави ликвидност на договора за заем на RBTC, затвори заема си със суап, използвайки тяхното XUSD обезпечение, изкупи (изгори) своя iRBTC токен и изпрати WRBTC обратно на RskSwap, за да завърши флаш суапа.“
Този процес помогна на хакера да манипулира цената на iToken, което му позволи да изтегли повече RBTC от целевия пул за заеми, отколкото първоначално беше депозиран. Въпреки това Sovryn заяви, че хакването не е повлияло по никакъв начин на средствата на потребителите и че всяка липсваща стойност от пуловете за заеми ще бъде компенсирана чрез хазната на Sovryn.
Какво следва?
Соврин също хвърли светлина върху това как протоколът ще се справи с проблема напред. В публикацията в блога компанията заяви, че усилията за възстановяване на активи от хакера ще продължат и ще бъде започнато пълно разследване на експлойта. Екипът на Sovryn също работи върху план за връщане на системата към пълна функционалност. Той обаче добави, че режимът на поддръжка ще остане в сила, докато има пълно доверие в безопасността на системата. Освен това се добавя, че след приключване на разследването ще бъде публикуван и аутопсия.
Отказ от отговорност: Тази статия е предоставена само с информационна цел. Той не се предлага или е предназначен да се използва като правен, данъчен, инвестиционен, финансов или друг съвет.
Източник: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen