پروتکل مالی غیرمتمرکز مبتنی بر بیت کوین Sovryn روز سهشنبه با یک هکر 1.1 میلیون دلار از این پروتکل مورد سوء استفاده قرار گرفت.
هکر با استفاده از تکنیک دستکاری قیمت در یکی از استخرهای وام دهی پروتکل، از یک تابع قدیمی برای تخلیه پروتکل سوء استفاده کرد.
جزئیات هک
Sovryn منتشر کرد پست های وبلاگ جزئیات حمله، که به طور خاص پروتکل قدیمی Sovryn Borrow/Lend را هدف قرار داده بود، که بر استخرهای وام دهی RBTC و USDT تأثیر گذاشت. این حمله به هکرها اجازه داد تا بیش از 1 میلیون دلار ارز دیجیتال را از پروتکل خارج کنند که شامل 211,045 USDT و 44.93 RBTC نیز میشود.
RBTC و USDT به بیت کوین و دلار آمریکا متصل هستند. در مورد Sovryn، آنها بر اساس Rootstock (RSK) هستند، زنجیره جانبی بیت کوین که برای گسترش قرارداد هوشمند دومی، برنامه غیرمتمرکز (dApp) و قابلیت های مقیاس بندی طراحی شده است. پروتکل Sovryn بر روی بلاک چین RSK ساخته شده است. جزئیات این هک توسط دستهای به نام @web3isgreat در توییتر به اشتراک گذاشته شد که بیان کرد:
پروتکل DeFi مبتنی بر بیت کوین، Sovryn، یک میلیون دلار به دلیل یک حمله دستکاری قیمت از دست داد. یک بهرهبردار توانست از قابلیت وام و قرضگیری قدیمی پروژه برای برداشت مخرب 1 RBTC (44.93 دلار) و 915,000 USDT استفاده کند.
مهاجم همچنین از تابع مبادله AMM Sovryn برای برداشت برخی از وجوه استفاده کرد، که به این معنی بود که آنها با چندین نوع مختلف توکن مواجه شدند. پست وبلاگ همچنین اضافه کرد که تلاش ها برای بازیابی وجوه هنوز ادامه دارد.
با توجه به رویکرد امنیتی چند لایه اتخاذ شده، توسعه دهندگان قادر به شناسایی و بازیابی وجوه در زمانی که مهاجم در تلاش برای برداشت وجوه بود، بودند. در این مرحله، از طریق یک تلاش ترکیبی، توسعه دهندگان موفق شده اند حدود نیمی از ارزش اکسپلویت را بازیابی کنند.
اولین هک توسط Sovryn
به گفته ادان یاگو، سخنگوی Sovryn، این اکسپلویت اولین بهره برداری موفق پروتکل در دو سال فعالیت آن بود. او در ادامه تاکید کرد که Sovryn، علیرغم هک، یکی از سیستمهای DeFi که به شدت مورد بازرسی قرار گرفتهاند، با چندین جایزه باگ فعال باقی مانده است. این اکسپلویت، قیمت iToken Sovyrn را دستکاری کرد، که توکنهای بهرهدار هستند که نشان دهنده سهم رمزنگاری شده توسط کاربر در یک استخر وام است.
چگونه اکسپلویت کار کرد
هکر ابتدا WRBTC (RBTC Wrapped) را از طریق تبادل فلش در RskSwap خریداری کرد. پس از این، هکر WRBTC را از قرارداد وام Sovryn وام گرفت و از XUSD خود به عنوان وثیقه استفاده کرد. پست وبلاگ با جزئیات بیشتر،
سپس مهاجم نقدینگی را به قرارداد وام RBTC ارائه کرد، وام خود را با سوآپ با استفاده از وثیقه XUSD خود بست، توکن iRBTC خود را بازخرید (سوزانید) و WRBTC را برای تکمیل مبادله فلش به RskSwap فرستاد.
این فرآیند به هکر کمک کرد تا قیمت iToken را دستکاری کند، و به آنها اجازه داد تا RBTC بیشتری را نسبت به آنچه که در ابتدا واریز شده بود، از استخر وامدهی مورد نظر برداشت کنند. با این حال، Sovryn اظهار داشت که این هک به هیچ وجه بر وجوه کاربران تأثیری نداشته است و هرگونه ارزش گمشده از استخرهای وام دهی از طریق خزانه Sovryn جبران خواهد شد.
بعد چه؟
شورین همچنین روشن می کند که پروتکل چگونه با این موضوع رو به جلو مدیریت می کند. در پست وبلاگ، این شرکت اعلام کرد که تلاشها برای بازیابی داراییها از هکر ادامه خواهد یافت و تحقیقات کامل در مورد سوء استفاده آغاز خواهد شد. تیم Sovryn همچنین در حال کار بر روی طرحی برای بازگرداندن سیستم به عملکرد کامل است. با این حال، اضافه کرد که حالت تعمیر و نگهداری تا زمانی که اطمینان کامل به ایمنی سیستم وجود نداشته باشد، باقی خواهد ماند. همچنین افزود که پس از تکمیل تحقیقات، گزارش پس از مرگ نیز منتشر خواهد شد.
سلب مسئولیت: این مقاله فقط برای اطلاع رسانی ارائه شده است. به عنوان مشاوره حقوقی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد ارائه یا در نظر گرفته نشده است.
منبع: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen