פרוטוקול פיננסים מבוזר מבוסס ביטקוין סוברין ספג ניצול גדול ביום שלישי, עם האקר שגוזל 1.1 מיליון דולר מהפרוטוקול.
ההאקר ניצל פונקציה מדור קודם כדי לנקז את הפרוטוקול, תוך שימוש בטכניקת מניפולציה של מחירים באחד ממאגרי ההלוואות של הפרוטוקול.
פרטי האק
סוברין פרסם את א בלוג המפרט את המתקפה, אשר כוונה ספציפית לפרוטוקול הלוואות/הלוואות של Sovryn הוותיק, שהשפיע על מאגר ההלוואות של RBTC ו-USDT. המתקפה אפשרה להאקרים לרוקן את הקריפטו בשווי של יותר ממיליון דולר מהפרוטוקול, שכלל גם 1 USDT ו-211,045 RBTC.
RBTC ו- USDT צמודים לביטקוין ולדולר האמריקאי. במקרה של Sovryn, הם מבוססים על Rootstock (RSK), שרשרת צד של ביטקוין שנועדה להרחיב את החוזה החכם, האפליקציה המבוזרת (dApp) ויכולות ההרחבה של האחרון. פרוטוקול Sovryn בנוי על blockchain RSK. פרטי הפריצה שותפו בטוויטר על ידי ידית בשם @web3isgreat, שקבעה,
"פרוטוקול DeFi מבוסס ביטקוין, Sovryn, הפסיד מיליון דולר בהתקפת מניפולציה במחיר. מנצל הצליח להשתמש בפונקציונליות ההלוואה וההשאלה המורשת של הפרויקט כדי למשוך בזדון 1 RBTC (~44.93$) ו-915,000 USDT."
התוקף השתמש גם בפונקציית החלפת AMM של Sovryn כדי למשוך חלק מהכספים, מה שאומר שהם קיבלו כמה סוגים שונים של אסימונים. בפוסט הבלוג הוסיפו גם כי המאמצים לגבות את הכספים עדיין נמשכים.
"בשל גישת האבטחה הרב-שכבתית שננקטה, המפתחים הצליחו לזהות ולהחזיר כספים כאשר התוקף ניסה למשוך את הכספים. בשלב זה, באמצעות מאמץ משולב, מפתחים הצליחו לשחזר כמחצית מערכו של הניצול".
פריצה ראשונה שסבל סוברין
לדברי דובר סוברן, עדן יאגו, הניצול היה הניצול המוצלח הראשון אי פעם של הפרוטוקול בשנתיים של פעילותו. הוא המשיך והדגיש שסוברין, למרות הפריצה, נותרה אחת ממערכות ה-DeFi המבוקרות ביותר, עם מספר פרסומות באגים פעילים. הניצול תמרן את מחיר iToken של Sovyrn, שהם אסימונים נושאי ריבית המייצגים את חלק הקריפטו שהחזיק משתמש במאגר הלוואות.
איך עבד הניצול
ההאקר רכש לראשונה WRBTC (Wrapped RBTC) באמצעות החלפת פלאש ב-RskSwap. לאחר מכן, ההאקר לווה את WRBTC מחוזה ההלוואות של סוברין, תוך שימוש ב-XUSD משלהם כבטוחה. הפוסט בבלוג הרחיב יותר,
"לאחר מכן, התוקף סיפק נזילות לחוזה ההלוואות של RBTC, סגר את ההלוואה שלהם בהחלפה באמצעות בטחונות XUSD שלהם, פדה (שרף) את אסימון ה-iRBTC שלהם, ושלח את ה-WRBTC בחזרה ל-RskSwap כדי להשלים את ההחלפה הבזק."
תהליך זה עזר להאקר לתמרן את מחיר iToken, ואיפשר להם למשוך יותר RBTC ממאגר ההלוואות הממוקד ממה שהופקד בתחילה. עם זאת, סוברין הצהיר כי הפריצה לא השפיעה בשום צורה על כספי המשתמשים וכי כל ערך חסר ממאגר ההלוואות יפוצה דרך האוצר של סוברן.
מה הלאה?
סוברין גם לשפוך אור על האופן שבו הפרוטוקול יטפל בבעיה בהמשך הדרך. בפוסט בבלוג, החברה הצהירה כי המאמצים לשחזר נכסים מההאקר יימשכו, וחקירה מלאה על הניצול תיפתח. הצוות בסוברין גם עובד על תוכנית להחזרת המערכת לפונקציונליות מלאה. עם זאת, הוא הוסיף כי מצב התחזוקה יישאר במקומו עד שיהיה ביטחון מלא בבטיחות המערכת. עוד הוסיפה כי דוח נתיחה שלאחר המוות יפורסם גם לאחר סיום החקירה.
הצהרת אחריות: מאמר זה ניתן למטרות מידע בלבד. הוא אינו מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
מקור: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen