Protokolli i financave të decentralizuara me bazë Bitcoin, Sovryn pësoi një shfrytëzim të madh të martën, me një haker që kulloi 1.1 milion dollarë nga protokolli.
Hakeri shfrytëzoi një funksion të trashëguar për të zbrazur protokollin, duke përdorur një teknikë të manipulimit të çmimeve në një nga grupet e huadhënies së protokollit.
Detajet e Hack
Sovryn botoi një blog post duke detajuar sulmin, i cili synonte në mënyrë specifike protokollin e trashëguar Sovryn Borrow/Lend, i cili ndikoi në grupet e huadhënies RBTC dhe USDT. Sulmi i lejoi hakerët të kullonin kripto me vlerë mbi 1 milion dollarë nga protokolli, i cili përfshinte gjithashtu 211,045 USDT dhe 44.93 RBTC.
RBTC dhe USDT janë të lidhura me Bitcoin dhe Dollarin Amerikan. Në rastin e Sovryn, ato bazohen në Rootstock (RSK), një zinxhir anësor i Bitcoin i cili është krijuar për të zgjeruar kontratën inteligjente të këtij të fundit, aplikacionin e decentralizuar (dApp) dhe aftësitë e shkallëzimit. Protokolli Sovryn është ndërtuar në zinxhirin bllokues RSK. Detajet e hakimit u shpërndanë në Twitter nga një dorezë e quajtur @web3isgreat, e cila thoshte,
“Protokolli DeFi i bazuar në Bitcoin, Sovryn, humbi 1 milion dollarë nga një sulm i manipulimit të çmimeve. Një shfrytëzues ishte në gjendje të përdorte funksionalitetin e huadhënies dhe huazimit të trashëgimisë së projektit për të tërhequr me qëllim të keq 44.93 RBTC (~ 915,000 dollarë) dhe 211,045 USDT.”
Sulmuesi përdori gjithashtu funksionin e shkëmbimit AMM të Sovryn për të tërhequr disa nga fondet, që do të thoshte se ata përfunduan me disa lloje të ndryshme argumentesh. Postimi në blog shtoi gjithashtu se përpjekjet për të rikuperuar fondet janë ende në vazhdim.
“Për shkak të qasjes së sigurisë me shumë shtresa, zhvilluesit ishin në gjendje të identifikonin dhe rikuperonin fondet ndërsa sulmuesi po përpiqej të tërhiqte fondet. Në këtë pikë, përmes një përpjekjeje të kombinuar, zhvilluesit kanë arritur të rikuperojnë rreth gjysmën e vlerës së shfrytëzimit.”
Haku i parë i pësuar nga Sovryn
Sipas zëdhënësit të Sovryn, Edan Yago, shfrytëzimi ishte shfrytëzimi i parë i suksesshëm i protokollit në dy vitet e funksionimit të tij. Ai vazhdoi të theksoi se Sovryn, megjithë hakimin, mbetet një nga sistemet DeFi më të audituar, me disa shpërblime aktive të gabimeve. Shfrytëzimi manipuloi çmimin iToken të Sovyrn, të cilat janë argumente me interes që përfaqësojnë pjesën e kriptos që mbahet nga një përdorues në një grup huadhënës.
Si funksionoi The Exploit
Hakeri së pari bleu WRBTC (RBTC e mbështjellë) përmes një shkëmbimi flash në RskSwap. Pas kësaj, hakeri mori hua WRBTC nga kontrata e huadhënies së Sovryn, duke përdorur XUSD-në e tyre si kolateral. Postimi në blog i shtjelluar më tej,
“Sulmuesi më pas siguroi likuiditet në kontratën e huadhënies RBTC, mbylli kredinë e tyre me një shkëmbim duke përdorur kolateralin e tyre XUSD, shpengoi (djegoi) tokenin e tyre iRBTC dhe e dërgoi WRBTC përsëri në RskSwap për të përfunduar shkëmbimin flash”.
Ky proces e ndihmoi hakerin të manipulonte çmimin iToken, duke i lejuar ata të tërheqin më shumë RBTC nga grupi i synuar i huadhënies sesa ishte depozituar fillimisht. Megjithatë, Sovryn deklaroi se hakimi nuk ndikoi në asnjë mënyrë fondet e përdoruesve dhe se çdo vlerë që mungon nga grupet e huadhënies do të kompensohet përmes thesarit të Sovryn.
Çka më tutje?
Sovryn gjithashtu hedh dritë mbi mënyrën se si protokolli do ta trajtojë çështjen duke ecur përpara. Në postimin në blog, kompania deklaroi se përpjekjet për të rikuperuar asetet nga hakeri do të vazhdonin dhe do të fillonte një hetim i plotë mbi shfrytëzimin. Ekipi në Sovryn po punon gjithashtu në një plan për ta kthyer sistemin në funksionalitet të plotë. Megjithatë, ai shtoi se mënyra e mirëmbajtjes do të mbetet në fuqi derisa të ketë besim të plotë në sigurinë e sistemit. Ai gjithashtu shtoi se një raport pas vdekjes gjithashtu do të publikohej pasi të përfundojë hetimi.
Përgjegjësia: Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë juridike, tatimore, investuese, financiare ose këshillë tjetër.
Burimi: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen