Bitcoin pagrindu sukurtas decentralizuoto finansavimo protokolas „Sovryn“ antradienį patyrė didelį išnaudojimą, kai įsilaužėlis iš šio protokolo išėmė 1.1 mln.
Įsilaužėlis pasinaudojo pasenusia funkcija, kad nusausintų protokolą, naudodamas manipuliavimo kainomis techniką viename iš protokolo skolinimo telkinių.
Išsami informacija apie nulaužimą
Sovrynas paskelbė a dienoraštyje išsamiai aprašoma ataka, kuri konkrečiai buvo nukreipta į senąjį „Sovryn Borrow/Lend“ protokolą, kuris paveikė RBTC ir USDT skolinimo fondus. Ataka leido įsilaužėliams nusausinti daugiau nei 1 mln.
RBTC ir USDT yra susieti su Bitcoin ir JAV doleriu. „Sovryn“ atveju jie yra pagrįsti „Rootstock“ (RSK), „Bitcoin“ šonine grandine, skirta išplėsti pastarojo išmaniąją sutartį, decentralizuotą programą (dApp) ir mastelio keitimo galimybes. „Sovryn“ protokolas yra pagrįstas RSK blokų grandine. Išsamia informacija apie įsilaužimą „Twitter“ pasidalijo rankena, pavadinta @web3isgreat, kuri nurodė,
„Bitcoin pagrindu sukurtas DeFi protokolas Sovrynas prarado 1 mln. USD dėl manipuliavimo kainomis atakos. Išnaudotojas galėjo panaudoti seną projekto skolinimo ir skolinimosi funkciją, kad piktybiškai atimtų 44.93 RBTC (~ 915,000 211,045 USD) ir XNUMX XNUMX USD.
Užpuolikas taip pat naudojo Sovryno AMM apsikeitimo funkciją, kad atimtų dalį lėšų, o tai reiškė, kad jie gavo kelių skirtingų tipų žetonus. Tinklaraščio įraše taip pat priduriama, kad pastangos susigrąžinti lėšas vis dar tęsiamos.
„Dėl daugiasluoksnio saugumo metodo kūrėjai galėjo nustatyti ir atgauti lėšas, kai užpuolikas bandė atsiimti lėšas. Šiuo metu bendromis pastangomis kūrėjai sugebėjo susigrąžinti maždaug pusę išnaudojimo vertės.
Pirmasis įsilaužimas, kurį patyrė Sovrynas
Pasak Sovryno atstovo Edano Yago, šis išnaudojimas buvo pirmasis sėkmingas protokolo išnaudojimas per dvejus jo veikimo metus. Jis pabrėžė, kad „Sovryn“, nepaisant įsilaužimo, išlieka viena iš labiausiai tikrinamų „DeFi“ sistemų, turinti keletą aktyvių klaidų. Išnaudojimas manipuliavo „Sovyrn“ „iToken“ kaina, kuri yra palūkanas nešantys žetonai, atspindintys kriptovaliutų dalį, kurią vartotojas turi skolinimo fonde.
Kaip „Exploit“ veikė
Pirmą kartą įsilaužėlis įsigijo WRBTC (Wrapped RBTC) per „flash“ apsikeitimą „RskSwap“. Po to įsilaužėlis pasiskolino WRBTC iš Sovryno skolinimo sutarties, naudodamas savo XUSD kaip užstatą. Tinklaraščio įrašas išsamiau paaiškintas,
„Tada užpuolikas suteikė likvidumą RBTC skolinimo sutarčiai, uždarė paskolą apsikeitimo sandoriu, naudodamas XUSD užstatą, išpirko (sudegino) savo iRBTC žetoną ir nusiuntė WRBTC atgal į RskSwap, kad užbaigtų greitą apsikeitimą.
Šis procesas padėjo įsilaužėliui manipuliuoti „iToken“ kaina, o tai leido jiems išimti daugiau RBTC iš tikslinio skolinimo fondo, nei buvo įmokėta iš pradžių. Tačiau Sovrynas teigė, kad įsilaužimas neturėjo jokios įtakos vartotojų lėšoms ir kad bet kokia trūkstama skolinimo fondų vertė bus kompensuojama per Sovryno iždą.
Kas toliau?
Sovrynas taip pat paaiškino, kaip protokolas spręs šią problemą. Tinklaraščio įraše bendrovė nurodė, kad pastangos atgauti iš įsilaužėlio turtą bus tęsiamos ir bus pradėtas išsamus išnaudojimo tyrimas. „Sovryno“ komanda taip pat rengia planą, kaip grąžinti visą sistemos funkcionalumą. Tačiau ji pridūrė, kad priežiūros režimas išliks tol, kol bus visiškai pasitikima sistemos saugumu. Ji taip pat pridūrė, kad baigus tyrimą bus paskelbta ir pomirtinė ataskaita.
Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams tikslams. Jis nėra siūlomas ir nėra skirtas naudoti kaip teisinis, mokesčių, investicijų, finansinis ar kitas patarimas.
Šaltinis: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen