Το πρωτόκολλο αποκεντρωμένης χρηματοδότησης που βασίζεται σε Bitcoin, ο Sovryn υπέστη σημαντική εκμετάλλευση την Τρίτη, με έναν χάκερ να αποστραγγίζει 1.1 εκατομμύρια δολάρια από το πρωτόκολλο.
Ο χάκερ εκμεταλλεύτηκε μια παλαιού τύπου λειτουργία για να αποστραγγίσει το πρωτόκολλο, χρησιμοποιώντας μια τεχνική χειραγώγησης τιμών σε μια από τις ομάδες δανεισμού του πρωτοκόλλου.
Λεπτομέρειες του The Hack
Sovryn δημοσίευσε α ανάρτηση περιγράφοντας λεπτομερώς την επίθεση, η οποία στόχευε συγκεκριμένα το παλαιού τύπου πρωτόκολλο Sovryn Borrow/Lend, το οποίο επηρέασε τις ομάδες δανεισμού RBTC και USDT. Η επίθεση επέτρεψε στους χάκερ να αποστραγγίσουν κρυπτονομίσματα αξίας άνω του 1 εκατομμυρίου δολαρίων από το πρωτόκολλο, το οποίο περιελάμβανε επίσης 211,045 USDT και 44.93 RBTC.
Το RBTC και το USDT είναι συνδεδεμένα με το Bitcoin και το δολάριο ΗΠΑ. Στην περίπτωση του Sovryn, βασίζονται στο Rootstock (RSK), μια πλευρική αλυσίδα του Bitcoin που έχει σχεδιαστεί για να επεκτείνει το έξυπνο συμβόλαιο, την αποκεντρωμένη εφαρμογή (dApp) και τις δυνατότητες κλιμάκωσης του τελευταίου. Το πρωτόκολλο Sovryn είναι χτισμένο στο blockchain RSK. Λεπτομέρειες για το χακάρισμα κοινοποιήθηκαν στο Twitter από μια λαβή που ονομάζεται @web3isgreat, η οποία δήλωσε:
«Το πρωτόκολλο DeFi που βασίζεται στο Bitcoin, Sovryn, έχασε 1 εκατομμύριο δολάρια σε μια επίθεση χειραγώγησης τιμών. Ένας εκμεταλλευτής μπόρεσε να χρησιμοποιήσει τη λειτουργικότητα δανεισμού και δανεισμού παλαιού τύπου του έργου για να αποσύρει κακόβουλα 44.93 RBTC (~915,000 $) και 211,045 USDT."
Ο εισβολέας χρησιμοποίησε επίσης τη συνάρτηση ανταλλαγής AMM του Sovryn για να αποσύρει ορισμένα από τα κεφάλαια, πράγμα που σήμαινε ότι κατέληξαν με πολλούς διαφορετικούς τύπους μάρκες. Η ανάρτηση ιστολογίου πρόσθεσε επίσης ότι οι προσπάθειες για την ανάκτηση των κεφαλαίων συνεχίζονται.
«Λόγω της πολυεπίπεδης προσέγγισης ασφαλείας που ακολουθήθηκε, οι προγραμματιστές μπόρεσαν να εντοπίσουν και να ανακτήσουν χρήματα καθώς ο εισβολέας προσπαθούσε να αποσύρει τα χρήματα. Σε αυτό το σημείο, μέσω μιας συνδυασμένης προσπάθειας, οι προγραμματιστές κατάφεραν να ανακτήσουν περίπου τη μισή αξία του exploit.”
Το πρώτο χάκ που υπέστη ο Sovryn
Σύμφωνα με τον εκπρόσωπο της Sovryn, Edan Yago, το exploit ήταν η πρώτη επιτυχημένη εκμετάλλευση του πρωτοκόλλου στα δύο χρόνια λειτουργίας του. Συνέχισε τονίζοντας ότι το Sovryn, παρά το hack, παραμένει ένα από τα πιο βαριά ελεγμένα συστήματα DeFi, με αρκετά ενεργά bug bounties. Το exploit χειραγωγήθηκε την τιμή iToken της Sovyrn, τα οποία είναι έντοκα διακριτικά που αντιπροσωπεύουν το μερίδιο της κρυπτογράφησης που κατέχει ένας χρήστης σε μια ομάδα δανεισμού.
Πώς λειτούργησε το The Exploit
Ο χάκερ αγόρασε για πρώτη φορά το WRBTC (Wrapped RBTC) μέσω ενός flash swap στο RskSwap. Μετά από αυτό, ο χάκερ δανείστηκε το WRBTC από τη σύμβαση δανεισμού της Sovryn, χρησιμοποιώντας το δικό τους XUSD ως εγγύηση. Η ανάρτηση του ιστολογίου αναλύεται περαιτέρω,
Στη συνέχεια, ο εισβολέας παρείχε ρευστότητα στο συμβόλαιο δανεισμού RBTC, έκλεισε το δάνειό του με μια ανταλλαγή χρησιμοποιώντας την εξασφάλιση XUSD, εξαργύρωσε (έκαψε) το διακριτικό του iRBTC και έστειλε το WRBTC πίσω στο RskSwap για να ολοκληρώσει τη flash swap.
Αυτή η διαδικασία βοήθησε τον χάκερ να χειραγωγήσει την τιμή του iToken, επιτρέποντάς του να αποσύρει περισσότερα RBTC από τη στοχευμένη ομάδα δανεισμού από ό,τι είχε αρχικά κατατεθεί. Ωστόσο, η Sovryn δήλωσε ότι η παραβίαση δεν επηρέασε με κανέναν τρόπο τα κεφάλαια των χρηστών και ότι οποιαδήποτε αξία λείπει από τις ομάδες δανεισμού θα αποζημιωθεί μέσω του ταμείου Sovryn.
Τι το επόμενο βήμα;
Σοβρίν ρίξει επίσης φως στον τρόπο με τον οποίο το πρωτόκολλο θα χειριστεί το ζήτημα που θα προχωρήσει. Στην ανάρτηση ιστολογίου, η εταιρεία δήλωσε ότι οι προσπάθειες για ανάκτηση περιουσιακών στοιχείων από τον χάκερ θα συνεχιστούν και ότι θα ξεκινήσει πλήρης έρευνα για την εκμετάλλευση. Η ομάδα του Sovryn εργάζεται επίσης σε ένα σχέδιο για την επαναφορά του συστήματος σε πλήρη λειτουργικότητα. Ωστόσο, πρόσθεσε ότι η λειτουργία συντήρησης θα παραμείνει σε ισχύ μέχρι να υπάρξει πλήρης εμπιστοσύνη στην ασφάλεια του συστήματος. Πρόσθεσε επίσης ότι θα δημοσιευθεί και μια μεταθανάτια έκθεση μόλις ολοκληρωθεί η έρευνα.
Αποποίηση ευθυνών: Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
Πηγή: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen