פרוטוקול Bitcoin Defi Sovryn נפרץ עבור למעלה ממיליון דולר

Sovryn - פרוטוקול פיננסי מבוזר מבוסס ביטקוין - ניגר מסכום של יותר ממיליון דולר ביום שלישי באמצעות ניצול של מניפולציה במחיר. 

המתקפה אפשרה לאשיין לרוקן מהפרוטוקול קריפטו בשווי של יותר ממיליון דולר, כולל 1 RBTC ו-44.93 USDT.

הפריצה הראשונה של סוברן

לפי זה של סוברין בלוג בנושא, ההתקפות כוונו במיוחד לפרוטוקול הוותיק של Sovryn Borrow/Lend. זה השפיע על מאגר ההלוואות RBTC ו-USDT. 

RBTC ו-USDT הם מחירי נכסי קריפטו המוצמדים לביטקוין ולדולר ארה"ב בהתאמה. במקרה זה, הם מסתובבים ב-Rootstock (RSK), רשת צדדית של ביטקוין שנועדה להרחיב את החוזה החכם של ביטקוין, דפ, ויכולות קנה מידה. Sovryn הוא פרוטוקול Defi שנבנה על RSK. 

חלק מהכספים נמשכו ככל הנראה באמצעות פונקציית ההחלפה של AMM של Sovryn, כלומר התוקף קיבל מספר אסימונים שונים. המאמץ לגבות כספים עדיין נמשך. 

"בשל גישת האבטחה הרב-שכבתית שננקטה, מפתחים הצליחו לזהות ולהחזיר כספים כאשר התוקף ניסה למשוך את הכספים", נכתב בפוסט. "בשלב זה, באמצעות מאמץ משולב, מפתחים הצליחו לשחזר כמחצית מערכו של הניצול."

דובר סוברן, עדן יאגו, אמר כי זהו הניצול המוצלח הראשון נגד הפרוטוקול לאחר שנתיים של פעילות. הוא נשמר שסוברין הוא "אחד הכבדים ביותר מבוקר מערכות Defi", עם יתרונות באגים יקרי ערך ופעילים. 

הניצול פעל על ידי מניפולציה של מחיר iToken של Sovryn - אסימונים נושאי ריבית המייצגים את חלק המטבעות הקריפטו שמשתמש מחזיק במאגר הלוואות. המחיר של אסימון זה מתעדכן בכל פעם שיש אינטראקציה עם עמדת מאגר הלוואות. 

איך התרוקנו הכספים

ראשית, התוקף קנה WRBTC (RBTC עטוף) באמצעות החלפת פלאש ב-RskSwap. לאחר מכן, הוא לווה WRBTC נוסף מחוזה ההלוואות של סוברין תוך שימוש ב-XUSD שלו (עוד stablecoin) כבטוחה. 

"לאחר מכן, התוקף סיפק נזילות לחוזה ההלוואות של RBTC, סגר את ההלוואה שלהם בהחלפה באמצעות בטחונות XUSD שלהם, פדה (שרף) את אסימון ה-iRBTC שלהם ושלח את ה-WRBTC בחזרה ל-RskSwap כדי להשלים את ההחלפה הבזק", נמשך הפוסט. 

התהליך כולו תמרן את מחיר iToken כך שהתוקף יכול היה למשוך הרבה יותר RBTC ממאגר ההלוואות ממה שהופקד לראשונה. 

סוברין הבהיר כי כספי המשתמשים לא הושפעו מהפריצה. כל ערך חסר ממאגר ההלוואות יוזרם מחדש על ידי האוצר - אוצר סוברין.