Децентралізований фінансовий протокол Sovryn, заснований на біткойнах, у вівторок постраждав від великої атаки, коли хакер витяг 1.1 мільйона доларів з протоколу.
Хакер скористався застарілою функцією, щоб виснажити протокол, використовуючи техніку маніпулювання цінами в одному з пулів кредитування протоколу.
Деталі злому
Соврин опублікував а блог докладно описуючи атаку, спрямовану саме на застарілий протокол Sovryn Borrow/Lend, що вплинуло на пули кредитування RBTC і USDT. Атака дозволила хакерам викачати з протоколу криптовалюти на суму понад 1 мільйон доларів, яка також включала 211,045 44.93 USDT і XNUMX RBTC.
RBTC і USDT прив'язані до біткойна і долара США. У випадку з Sovryn вони засновані на Rootstock (RSK), сайдчейні біткойна, який розроблений для розширення смарт-контрактів, децентралізованих програм (dApp) і можливостей масштабування останнього. Протокол Sovryn побудований на блокчейні RSK. Подробиці злому оприлюднив у Twitter агент під назвою @web3isgreat, який заявив:
«Протокол DeFi, заснований на біткойнах, Sovryn, втратив 1 мільйон доларів через атаку маніпуляції цінами. Експлуататор зміг використати застарілу функцію позичання та позичання проекту, щоб зловмисно вилучити 44.93 RBTC (~915,000 211,045 доларів США) і XNUMX XNUMX доларів США».
Зловмисник також використовував функцію обміну AMM Sovryn, щоб вивести частину коштів, що означало, що вони отримали кілька різних типів токенів. У дописі в блозі також додається, що зусилля щодо повернення коштів ще тривають.
«Завдяки застосуванню багаторівневого підходу до безпеки розробники змогли ідентифікувати та повернути кошти, коли зловмисник намагався вивести кошти. На даний момент завдяки спільним зусиллям розробникам вдалося відновити приблизно половину вартості експлойту».
Перший злом зазнав Соврин
За словами речника Sovryn Едана Яго, експлойт став першим в історії успішним використанням протоколу за два роки роботи. Далі він підкреслив, що Sovryn, незважаючи на злом, залишається однією з найбільш ретельно перевірених систем DeFi з кількома активними винагородами за помилки. Експлойт маніпулював ціною iToken Sovirn, які є відсотковими токенами, що представляють частку криптовалюти, яку має користувач у кредитному пулі.
Як працював Exploit
Хакер спочатку придбав WRBTC (Wrapped RBTC) через флеш-своп на RskSwap. Після цього хакер запозичив WRBTC з кредитного договору Sovryn, використовуючи їхні власні XUSD як заставу. Публікація в блозі докладніше,
«Потім зловмисник надав ліквідність кредитному контракту RBTC, закрив позику свопом, використовуючи заставу XUSD, викупив (спалив) їхній токен iRBTC і відправив WRBTC назад до RskSwap для завершення флеш-свопу».
Цей процес допоміг хакеру маніпулювати ціною iToken, що дозволило йому вилучити більше RBTC з пулу цільового кредитування, ніж було спочатку внесено. Однак Соврин заявив, що злом жодним чином не вплинув на кошти користувачів і що будь-яка втрачена вартість з пулів кредитування буде компенсована через казначейство Соврин.
Що далі?
Соврин також пролити світло на те, як протокол вирішуватиме цю проблему надалі. У дописі в блозі компанія заявила, що спроби повернути активи хакера будуть продовжені, і буде розпочато повне розслідування експлойту. Команда Соврина також працює над планом повернення системи до повної функціональності. Однак додали, що режим технічного обслуговування залишатиметься в силі, доки не буде повна впевненість у безпеці системи. Він також додав, що після завершення розслідування також буде опубліковано посмертний звіт.
Застереження: Ця стаття надана виключно в ознайомлювальних цілях. Він не пропонується і не призначений для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen