ბიტკოინზე დაფუძნებული დეცენტრალიზებული ფინანსური პროტოკოლი Sovryn-მა სამშაბათს განიცადა დიდი ექსპლუატაცია, ჰაკერმა პროტოკოლიდან $1.1 მილიონი ამოიღო.
ჰაკერმა გამოიყენა მემკვიდრეობითი ფუნქცია პროტოკოლის გადინების მიზნით, ფასის მანიპულირების ტექნიკის გამოყენებით პროტოკოლის ერთ-ერთ საკრედიტო აუზში.
დეტალები Hack
სოვრინმა გამოაქვეყნა ა დღიურში შეტყობინება დეტალურად აღწერს თავდასხმას, რომელიც კონკრეტულად მიზნად ისახავდა მემკვიდრეობით Sovryn Borrow/Lend პროტოკოლს, რომელმაც გავლენა მოახდინა RBTC და USDT საკრედიტო აუზებზე. შეტევამ ჰაკერებს საშუალება მისცა ამოეღოთ 1 მილიონი დოლარის ღირებულების კრიპტო პროტოკოლიდან, რომელიც ასევე მოიცავდა 211,045 USDT და 44.93 RBTC.
RBTC და USDT დაკავშირებულია ბიტკოინთან და აშშ დოლართან. Sovryn-ის შემთხვევაში, ისინი დაფუძნებულია Rootstock-ზე (RSK), ბიტკოინის გვერდითი ჯაჭვი, რომელიც შექმნილია ამ უკანასკნელის ჭკვიანი კონტრაქტის, დეცენტრალიზებული აპლიკაციის (dApp) და სკალირების შესაძლებლობების გაფართოებისთვის. Sovryn პროტოკოლი აგებულია RSK ბლოკჩეინზე. ჰაკერის დეტალები გააზიარა Twitter-ზე სახელური სახელწოდებით @web3isgreat, სადაც ნათქვამია,
„ბიტკოინზე დაფუძნებული DeFi პროტოკოლმა Sovryn-მა 1 მილიონი დოლარი დაკარგა ფასების მანიპულაციის შეტევის შედეგად. ექსპლუატატორს შეეძლო გამოეყენებინა პროექტის მემკვიდრეობითი სესხის და სესხის ფუნქციონირება 44.93 RBTC (~ 915,000 აშშ დოლარი) და 211,045 აშშ დოლარის ბოროტად გამოსატანად.”
თავდამსხმელმა ასევე გამოიყენა Sovryn's AMM swap ფუნქცია გარკვეული თანხების გამოსატანად, რაც იმას ნიშნავს, რომ მათ დაასრულეს რამდენიმე სხვადასხვა ტიპის ჟეტონები. ბლოგპოსტში ასევე დამატებულია, რომ თანხების აღდგენის მცდელობები ჯერ კიდევ გრძელდება.
„უსაფრთხოების მრავალ ფენიანი მიდგომის გამო, დეველოპერებმა შეძლეს თანხების იდენტიფიცირება და აღდგენა, რადგან თავდამსხმელი ცდილობდა თანხების ამოღებას. ამ ეტაპზე, ერთობლივი ძალისხმევით, დეველოპერებმა მოახერხეს ექსპლოიტის დაახლოებით ნახევარი ღირებულების აღდგენა.
პირველი ჰაკი განიცადა სოვრინმა
Sovryn-ის სპიკერის ედან იაგოს თქმით, ექსპლოიტი იყო პროტოკოლის პირველი წარმატებული ექსპლუატაცია მისი ორი წლის განმავლობაში. მან გააგრძელა ხაზგასმით, რომ Sovryn, მიუხედავად ჰაკერისა, რჩება ერთ-ერთ ყველაზე ინტენსიურად აუდიტებულ DeFi სისტემად, რამდენიმე აქტიური ხარვეზის ბონუტით. ექსპლოიტით მანიპულირებდა Sovyrn-ის iToken ფასით, რომლებიც არის პროცენტიანი ტოკენები, რომლებიც წარმოადგენს მომხმარებლის მიერ კრიპტოვალუტის წილს დაკრედიტების აუზში.
როგორ მუშაობდა ექსპლოიტი
ჰაკერმა პირველად იყიდა WRBTC (შეფუთული RBTC) ფლეშ სვოპის მეშვეობით RskSwap-ზე. ამის შემდეგ, ჰაკერმა ისესხა WRBTC Sovryn-ის საკრედიტო კონტრაქტიდან და გამოიყენა საკუთარი XUSD გირაოს სახით. ბლოგის პოსტი უფრო დეტალურად არის შემუშავებული,
„შემდეგ თავდამსხმელმა მიაწოდა ლიკვიდობა RBTC სესხის კონტრაქტს, დახურა სესხი სვოპით მათი XUSD გირაოს გამოყენებით, გამოისყიდა (დაწვა) მათი iRBTC ტოკენი და გაუგზავნა WRBTC RskSwap-ს, რათა დაესრულებინა ფლეშ სვოპი.
ეს პროცესი დაეხმარა ჰაკერებს iToken ფასით მანიპულირებაში, რაც მათ საშუალებას აძლევდა გაეტანათ მეტი RBTC მიზნობრივი დაკრედიტების ფონდიდან, ვიდრე თავდაპირველად იყო დეპონირებული. თუმცა, სოვრინმა განაცხადა, რომ ჰაკერმა არავითარი გავლენა არ მოახდინა მომხმარებლის სახსრებზე და რომ ნებისმიერი დაკარგული ღირებულება დაკრედიტების აუზებიდან ანაზღაურდება Sovryn ხაზინის მეშვეობით.
რა არის შემდეგი?
სოვრინი ასევე ნათელი მოჰფინა იმაზე, თუ როგორ მოაგვარებს პროტოკოლი ამ საკითხს წინსვლისკენ. ბლოგპოსტში კომპანიამ განაცხადა, რომ ჰაკერისგან აქტივების აღდგენის მცდელობები გაგრძელდებოდა და დაიწყება სრული გამოძიება ექსპლოიტის შესახებ. Sovryn-ის გუნდი ასევე მუშაობს სისტემის სრულ ფუნქციონირებაზე დაბრუნების გეგმაზე. ამასთან, მან დაამატა, რომ შენარჩუნების რეჟიმი დარჩება იქამდე, სანამ არ იქნება სრული ნდობა სისტემის უსაფრთხოებაში. მან ასევე დასძინა, რომ გამოძიების დასრულების შემდეგ გამოქვეყნდება სიკვდილის შემდგომი დასკვნა.
უარი პასუხისმგებლობაზე: ეს სტატია მოწოდებულია მხოლოდ ინფორმაციული მიზნებისთვის. ის არ არის შემოთავაზებული ან მიზნად ისახავს გამოყენებას იურიდიულ, საგადასახადო, საინვესტიციო, ფინანსურ ან სხვა რჩევად.
წყარო: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen