Το Sovryn – ένα αποκεντρωμένο χρηματοοικονομικό πρωτόκολλο που βασίζεται σε Bitcoin – εξαντλήθηκε πάνω από 1 εκατομμύριο δολάρια σε κεφάλαια την Τρίτη χρησιμοποιώντας μια εκμετάλλευση χειραγώγησης τιμών.
Η επίθεση επέτρεψε στον ένοχο να αποστραγγίσει κρυπτονομίσματα αξίας άνω του 1 εκατομμυρίου δολαρίων από το πρωτόκολλο, συμπεριλαμβανομένων 44.93 RBTC και 211,045 USDT.
Sovryn's First Hack
Σύμφωνα με το Sovryn's ανάρτηση σχετικά με το θέμα, οι επιθέσεις στόχευαν ειδικά το παλαιού τύπου πρωτόκολλο Sovryn Borrow/Lend. Επηρέασε τις ομάδες δανεισμού RBTC και USDT.
Το RBTC και το USDT είναι η τιμή των περιουσιακών στοιχείων κρυπτογράφησης που συνδέονται με το Bitcoin και τα δολάρια ΗΠΑ αντίστοιχα. Σε αυτήν την περίπτωση, κυκλοφορούν στο Rootstock (RSK), μια πλευρική αλυσίδα Bitcoin που προορίζεται να επεκτείνει το έξυπνο συμβόλαιο του Bitcoin, dapp, και δυνατότητες κλιμάκωσης. Το Sovryn είναι ένα πρωτόκολλο Defi που βασίζεται στο RSK.
Μερικά από τα χρήματα προφανώς αποσύρθηκαν χρησιμοποιώντας τη συνάρτηση ανταλλαγής AMM του Sovryn, που σημαίνει ότι ο εισβολέας κατέληξε με πολλά διαφορετικά διακριτικά. Η προσπάθεια για ανάκτηση κεφαλαίων συνεχίζεται.
«Λόγω της πολυεπίπεδης προσέγγισης ασφαλείας που υιοθετήθηκε, οι προγραμματιστές μπόρεσαν να εντοπίσουν και να ανακτήσουν χρήματα καθώς ο εισβολέας προσπαθούσε να αποσύρει τα χρήματα», αναφέρει η ανάρτηση. «Σε αυτό το σημείο, μέσω μιας συνδυασμένης προσπάθειας, οι προγραμματιστές κατάφεραν να ανακτήσουν περίπου τη μισή αξία του exploit».
Ο εκπρόσωπος της Sovryn, Ένταν Γιάγκο, δήλωσε ότι αυτή είναι η πρώτη επιτυχημένη εκμετάλλευση ενάντια στο πρωτόκολλο μετά από δύο χρόνια λειτουργίας. Αυτός διατηρηθεί ότι το Sovryn είναι «ένα από τα πιο βαριά ελεγχθεί Defi Systems, με πολύτιμα και ενεργά bug bounties.
Το exploit λειτούργησε χειραγωγώντας την τιμή iToken της Sovryn – έντοκα μάρκες που αντιπροσωπεύουν το μερίδιο του κρυπτονομίσματος που κατέχει ένας χρήστης σε μια ομάδα δανεισμού. Η τιμή αυτού του διακριτικού ενημερώνεται κάθε φορά που αλληλεπιδρά με μια θέση συγκέντρωσης δανεισμού.
Πώς εξαντλήθηκαν τα κονδύλια
Πρώτον, ο εισβολέας αγόρασε το WRBTC (περιτυλιγμένο RBTC) χρησιμοποιώντας ένα flash swap στο RskSwap. Στη συνέχεια, δανείστηκε επιπλέον WRBTC από τη σύμβαση δανεισμού της Sovryn χρησιμοποιώντας το δικό του XUSD (άλλο stablecoin) ως εγγύηση.
«Ο εισβολέας στη συνέχεια παρείχε ρευστότητα στο συμβόλαιο δανεισμού RBTC, έκλεισε το δάνειό του με μια ανταλλαγή χρησιμοποιώντας την εξασφάλιση XUSD, εξαργύρωσε (έκαψε) το διακριτικό του iRBTC και έστειλε το WRBTC πίσω στο RskSwap για να ολοκληρώσει το flash swap», συνεχίζει η ανάρτηση.
Η όλη διαδικασία χειραγώγησε την τιμή του iToken έτσι ώστε ο εισβολέας να μπορούσε να αποσύρει πολύ περισσότερα RBTC από τη δεξαμενή δανεισμού από αυτά που κατατέθηκαν αρχικά.
Ο Sovryn διευκρίνισε ότι τα κεφάλαια των χρηστών δεν έχουν επηρεαστεί από το hack. Οποιαδήποτε αξία λείπει από τις ομάδες δανεισμού θα επανεισφέρει από το Υπουργείο Οικονομικών – το ταμείο Sovryn.
Binance Δωρεάν 100 $ (Αποκλειστικά): Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να λάβετε δωρεάν προμήθειες 100 $ και έκπτωση 10% στο Binance Futures τον πρώτο μήνα (όροι).
Ειδική προσφορά PrimeXBT: Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να εισαγάγετε τον κωδικό POTATO50 για να λάβετε έως και 7,000 $ στις καταθέσεις σας.
Πηγή: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/