Bitcoin-based decentralized finance protocol Sovryn dumanas ng isang malaking pagsasamantala noong Martes, na may isang hacker draining $1.1 milyon mula sa protocol.
Sinamantala ng hacker ang isang legacy function upang maubos ang protocol, gamit ang isang diskarte sa pagmamanipula ng presyo sa isa sa mga lending pool ng protocol.
Mga Detalye Ng Ang Hack
Inilathala ni Sovryn a blog post nagdedetalye sa pag-atake, na partikular na naka-target sa legacy na Sovryn Borrow/Lend protocol, na nakaapekto sa RBTC at USDT lending pool. Ang pag-atake ay nagpapahintulot sa mga hacker na maubos ang mahigit $1 milyon na halaga ng crypto mula sa protocol, na kasama rin ang 211,045 USDT at 44.93 RBTC.
Ang RBTC at USDT ay naka-peg sa Bitcoin at sa US Dollar. Sa kaso ni Sovryn, nakabatay sila sa Rootstock (RSK), isang sidechain ng Bitcoin na idinisenyo upang palawakin ang matalinong kontrata, desentralisadong aplikasyon (dApp), at mga kakayahan sa pag-scale ng huli. Ang Sovryn protocol ay binuo sa RSK blockchain. Ang mga detalye ng hack ay ibinahagi sa Twitter ng isang handle na tinatawag na @web3isgreat, na nagsasaad,
"Ang DeFi protocol na nakabase sa Bitcoin, si Sovryn, ay nawalan ng $1 milyon sa isang pag-atake sa pagmamanipula ng presyo. Nagamit ng isang mapagsamantala ang pagpapagana ng pagpapahiram at paghiram ng proyekto para malisyosong mag-withdraw ng 44.93 RBTC (~$915,000) at 211,045 USDT.”
Ginamit din ng attacker ang AMM swap function ni Sovryn upang bawiin ang ilan sa mga pondo, na nangangahulugang napunta sila sa ilang iba't ibang uri ng mga token. Idinagdag din ng blog post na ang mga pagsisikap na mabawi ang mga pondo ay patuloy pa rin.
"Dahil sa multi-layered na diskarte sa seguridad na ginawa, natukoy ng mga dev at nabawi ang mga pondo habang sinusubukan ng umaatake na bawiin ang mga pondo. Sa puntong ito, sa pamamagitan ng pinagsamang pagsisikap, nabawi ng mga dev ang halos kalahati ng halaga ng pagsasamantala."
Unang Hack na Dinanas Ni Sovryn
Ayon sa tagapagsalita ng Sovryn na si Edan Yago, ang pagsasamantala ay ang kauna-unahang matagumpay na pagsasamantala ng protocol sa dalawang taon nitong operasyon. Idiniin niya na si Sovryn, sa kabila ng pag-hack, ay nananatiling isa sa pinakamabigat na na-audit na DeFi system, na may ilang aktibong bug bountie. Ang pagsasamantala ay minanipula ang presyo ng iToken ng Sovyrn, na mga token na may interes na kumakatawan sa bahagi ng crypto na hawak ng isang user sa isang lending pool.
Paano Nagtrabaho Ang Exploit
Ang hacker ay unang bumili ng WRBTC (Balot na RBTC) sa pamamagitan ng isang flash swap sa RskSwap. Pagkatapos nito, hiniram ng hacker ang WRBTC mula sa kontrata ng pagpapautang ni Sovryn, gamit ang sarili nilang XUSD bilang collateral. Ang post sa blog ay nagpapaliwanag pa,
“Pagkatapos ay nagbigay ang attacker ng liquidity sa RBTC lending contract, isinara ang kanilang loan sa pamamagitan ng swap gamit ang kanilang XUSD collateral, i-redeem (sinunog) ang kanilang iRBTC token, at ipinadala ang WRBTC pabalik sa RskSwap para kumpletuhin ang flash swap."
Ang prosesong ito ay nakatulong sa hacker na manipulahin ang presyo ng iToken, na nagpapahintulot sa kanila na mag-withdraw ng mas maraming RBTC mula sa target na lending pool kaysa sa naunang nadeposito. Gayunpaman, sinabi ni Sovryn na hindi naapektuhan ng hack ang mga pondo ng user sa anumang paraan at ang anumang nawawalang halaga mula sa mga lending pool ay babayaran sa pamamagitan ng Sovryn treasury.
Ano ang Susunod?
Sovryn nagbibigay din ng liwanag sa kung paano haharapin ng protocol ang isyu sa hinaharap. Sa post sa blog, sinabi ng kumpanya na ang mga pagsisikap na mabawi ang mga asset mula sa hacker ay magpapatuloy, at isang buong pagsisiyasat sa pagsasamantala ay ilulunsad. Ang koponan sa Sovryn ay gumagawa din ng isang plano upang ibalik ang system sa ganap na paggana. Gayunpaman, idinagdag nito na ang mode ng pagpapanatili ay mananatili hanggang sa magkaroon ng kumpletong pagtitiwala sa kaligtasan ng system. Idinagdag din nito na ang isang post-mortem report ay mai-publish din kapag natapos na ang imbestigasyon.
Pagwawaksi: Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pampinansyal, o iba pang payo.
Pinagmulan: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen